El caso se inicia tras la reclamación de un interesado que ejerció su derecho de acceso ante la entidad sin obtener una respuesta adecuada. Ante esta situación, la AEPD estimó la reclamación y dictó una resolución en la que obligaba expresamente a la entidad a facilitar la información solicitada o, en su caso, a denegarla de forma motivada dentro de un plazo concreto.

El elemento determinante del expediente no es solo la falta inicial de respuesta, sino que la entidad ignoró completamente la resolución de la AEPD.  A pesar de haber sido notificada correctamente y de recibir requerimientos adicionales para acreditar su cumplimiento, la entidad no realizó ninguna de las actuaciones reclamadas:

-no atendió el derecho del interesado.

-no justificó su negativa.

-no respondió a la AEPD.

Estas conductas suponen un incumplimiento directo de los poderes correctivos de la AEPD, vulnerando el artículo 58.2.c) del RGPD, tipificado como infracción muy grave.

Como consecuencia, la entidad fue sancionada con una multa de 225.000 euros, reducida a 180.000 euros por pago voluntario.

IMPORTANTE

La entidad incumplió durante más de un año una resolución firme de la AEPD, pese a recibir múltiples requerimientos de cumplimiento.

La entrada Incumplir una resolución de la AEPD supone una infracción muy grave en protección de datos se publicó primero en Adaptación RGPD.

Las funciones del DPD están recogidas en el artículo 39 del RGPD. En primer lugar, debe informar y asesorar sobre las obligaciones legales en materia de protección de datos, ayudando a aplicar correctamente la normativa y evitando riesgos en la toma de decisiones.

Además, debe supervisar el cumplimiento interno, revisando políticas, medidas de seguridad y formación del personal. No basta con disponer de documentación, sino que es necesario garantizar su aplicación efectiva.

Otra función esencial es el asesoramiento al responsable del tratamiento las evaluaciones de impacto en protección de datos (EIPD) cuando existen tratamientos de alto riesgo. También actúa como punto de contacto con la Agencia Española de Protección de Datos (AEPD), colaborando en inspecciones o consultas previas a la AEPD.

Por último, el DPD es el que asesora al responsable y atiende las peticiones de los interesados en el ejercicio de sus derechos.

IMPORTANTE

El DPD garantiza el cumplimiento, reduce riesgos legales y fortalece la confianza, siendo clave en la gestión responsable de datos personales.

La entrada Delegado de Protección de Datos: funciones, obligaciones y su impacto en el cumplimiento se publicó primero en Adaptación RGPD.

El fraude online, con 45.445 casos, se consolida como la principal amenaza, mientras que el phishing suma 25.133 incidentes. Estos datos no son meras estadísticas: reflejan una sofisticación cada vez mayor en las técnicas de ingeniería social y una explotación sistemática de la confianza digital. El cierre de 4.600 dominios fraudulentos demuestra que la respuesta institucional existe, pero la prevención debe reforzarse desde la base.

Especial atención merece el malware, con 55.411 incidentes registrados, incluidos 392 ataques de ransomware. Que el 85% de los sistemas infectados estén vinculados a dispositivos IoT confirma algo que venimos advirtiendo desde hace años: la conectividad sin seguridad es una vulnerabilidad estructural. Por último, hacer referencia a las 142.767 consultas atendidas por la Línea de Ayuda de INCIBE que reflejan una mayor concienciación social.

IMPORTANTE

La ciberseguridad es un pilar estratégico para el gobierno corporativo y garantía de la continuidad del negocio.

La entrada Nuevo escenario estratégico de la ciberseguridad en España se publicó primero en Adaptación RGPD.

El uso de técnicas de huella digital del dispositivo exige a los responsables del tratamiento una especial diligencia. El RGPD es claro: si mediante el fingerprinting se puede identificar directa o indirectamente a una persona, estamos ante un tratamiento de datos personales y deben cumplirse todas las garantías legales.

Pensemos, por ejemplo, en una web que utiliza fingerprinting para personalizar publicidad. Aunque el usuario no introduzca su nombre ni acepte cookies, su comportamiento puede ser seguido de forma persistente. En estos casos, no basta con alegar una finalidad técnica: es necesario informar de manera clara y obtener un consentimiento válido antes de iniciar el tratamiento.

Entre las buenas prácticas recomendadas destacan la minimización de datos, la limitación de técnicas intrusivas y la integración de la privacidad desde el diseño. Aquí, el papel del Delegado de Protección de Datos resulta clave, ya que puede ayudar a valorar si el uso del fingerprinting es realmente proporcional o si existen alternativas menos invasivas.

IMPORTANTE

El fingerprinting exige consentimiento previo, análisis de riesgos, y aplicación efectiva del principio de responsabilidad proactiva.

La entrada Fingerprinting y cumplimiento normativo: lo que los responsables del tratamiento deben tener en cuenta (II) se publicó primero en Adaptación RGPD.

La reclamación, presentada inicialmente ante la autoridad de control sueca y posteriormente trasladada a la AEPD por su carácter transfronterizo, denunciaba la exposición indebida de datos personales en un complejo hotelero.

En concreto, se puso de manifiesto que el personal de seguridad, durante las labores de control de acceso a la comunidad de propietarios y al hotel, mantenía a la vista listados impresos con información personal de propietarios y huéspedes (nombre, apellidos, país, DNI, pasaporte) quedando accesibles a terceros y pudiendo incluso ser fotografiadas.

Asimismo, quedó acreditado que la empresa de seguridad actuaba como encargada del tratamiento, bajo las instrucciones de la gestora hotelera, responsable del tratamiento en su condición de administradora de la comunidad. En el expediente se concluyó que la gestora del hotel no había implantado medidas técnicas y organizativas adecuadas para garantizar la confidencialidad de la información.

La conducta fue calificada como vulneración del principio de integridad y confidencialidad del artículo 5.1.f) del RGPD, imponiéndose una sanción económica de 40.000 euros y la obligación de adoptar medidas correctivas.

IMPORTANTE

La responsabilidad del tratamiento incluye el control efectivo sobre los encargados y la adopción de medidas reales, no meramente formales, para garantizar la confidencialidad de los datos personales.

La entrada Multada una empresa hotelera con 40.000 euros por dejar datos personales a la vista en el control de accesos se publicó primero en Adaptación RGPD.

La norma refuerza, además, su independencia funcional al disponer que el DPD “no recibirá ninguna instrucción” en el desempeño de sus funciones, que “no será destituido ni sancionado” por el ejercicio de las mismas y que “rendirá cuentas directamente al más alto nivel jerárquico” de la organización. Estas garantías no son meramente formales, sino que aseguran la objetividad y autonomía de su criterio técnico.

Asimismo, el RGPD exige que se le proporcionen los recursos necesarios, acceso a la información y formación adecuada, evitando cualquier conflicto de intereses.

IMPORTANTE

El Delegado de Protección de Datos debe actuar con independencia, recursos suficientes y autonomía, garantizando una supervisión eficaz del cumplimiento normativo del RGPD.

La entrada Principio de independencia y medios necesarios para el ejercicio de las funciones del DPD se publicó primero en Adaptación RGPD.

Cuando hablamos de ciberseguridad, pocas medidas resultan tan determinantes —y a la vez tan infravaloradas— como la autenticación. Verificar correctamente quién accede a un sistema no es una cuestión accesoria, sino la primera barrera frente a la mayoría de los incidentes de seguridad que afectan hoy a organizaciones de cualquier tamaño.

La experiencia demuestra que un elevado porcentaje de incidentes de seguridad se produce por el uso de contraseñas débiles, reutilizadas o comprometidas, lo que evidencia la necesidad de implantar mecanismos de autenticación robustos y adaptados al riesgo.

Invertir en una autenticación robusta no solo reduce la probabilidad de accesos indebidos, sino que aporta estabilidad, confianza y continuidad operativa. Es, en definitiva, una decisión de madurez en la gestión de la ciberseguridad.

IMPORTANTE

No se trata únicamente de verificar quién accede, sino de hacerlo de forma fiable, trazable y resistente a ataques.

La entrada Autenticación segura: el pilar esencial de la ciberseguridad en entornos digitales se publicó primero en Adaptación RGPD.

En el día de hoy los navegadores pueden ser configurados por el usuario, para que no acepten cookies o bien para que acepten cookies temporales que se borran automáticamente al cerrar el navegador. Sin embargo, existen nuevas formas de salvar las protecciones para recopilar y explotar datos de los usuarios.

Un ejemplo sencillo ayuda a entender su alcance: aunque dos personas utilicen el mismo navegador, pequeñas diferencias en la configuración de su dispositivo permiten distinguirlas con gran precisión. De este modo, incluso si el usuario borra cookies o navega en modo incógnito, puede seguir siendo reconocido.

El estudio de la AEPD demuestra que la recopilación de características técnicas del navegador y del equipo —resolución de pantalla, sistema operativo, fuentes instaladas o configuración gráfica— es posible construir un identificador prácticamente único.

Desde el punto de vista de la privacidad, el impacto es evidente. Identificar un dispositivo equivale, en la práctica, a identificar a la persona que lo utiliza.

IMPORTANTE

El usuario/a rara vez es consciente de que este tratamiento se está produciendo, lo que dificulta el ejercicio de sus derechos.

La entrada Fingerprinting o Huella digital del dispositivo (I) se publicó primero en Adaptación RGPD.

La denuncia fue formulada por la representación legal de los trabajadores, en concreto, se denunciaba que la entidad había solicitado al personal laboral sus números de teléfono móviles personales y otros datos identificativos, sin proporcionar información adecuada ni recabar consentimiento, para utilizarlos en el acceso a herramientas informáticas con la finalidad de doble factor de autenticación.

Los empleados comenzaron a recibir en sus teléfonos personales mensajes con credenciales de acceso a sistemas corporativos del cliente, deduciéndose que se habían comunicado dichos datos sin base jurídica válida y sin ofrecer alternativas menos intrusivas, como el uso de medios corporativos. Asimismo, se alegó la inexistencia de información clara sobre la transferencia internacional de datos y omitir el informe desfavorable del Delegado de Protección de Datos sobre esta práctica.

La Agencia concluyó que dicho tratamiento no era necesario para la ejecución del contrato laboral y que vulneraba el principio de licitud del artículo 5.1.a) del RGPD. La multa administrativa alcanzó los 80.000€.

IMPORTANTE

La conducta fue calificada como infracción muy grave, imponiéndose una sanción, junto con la obligación de cesar en el uso de teléfonos personales y adoptar medidas correctivas.

La entrada Sancionada una entidad con 80.000€ por la cesión ilícita de datos de empleados a terceros y uso de su teléfono personal se publicó primero en Adaptación RGPD.

Debido a la creciente complejidad de los tratamientos, el uso intensivo de tecnologías digitales y al impacto que determinadas actividades pueden tener sobre los derechos y libertades de las personas, algunas organizaciones específicas precisan contar con un asesor especializado, independiente y con conocimientos jurídicos y técnicos suficientes para supervisar de forma continuada el cumplimiento de la normativa.

El Delegado de protección de datos facilita la implantación de políticas internas, la gestión de riesgos y la interlocución con la Agencia Española de Protección de Datos. Su presencia efectiva permite anticipar incumplimientos, reducir la exposición a sanciones y demostrar una verdadera cultura de protección de datos, alineada con las exigencias del marco normativo español y europeo.

IMPORTANTE

No designar Delegado de Protección de Datos en supuestos obligatorios constituye una infracción grave del RGPD, sancionable con multas administrativas significativas.

La entrada El Delegado de protección de datos aliado estratégico en el cumplimiento normativo se publicó primero en Adaptación RGPD.