El Colegio de Administradores de Fincas de Valencia y Castellón pide al Gobierno la reinstauración de juntas telemáticas, similar a lo aprobado durante la pandemia. La petición se fundamenta en los daños causados por la DANA del 29 de octubre de 2024, que han dificultado la movilidad y afectado a propietarios y administradores. Se busca que las medidas se apliquen únicamente a las zonas afectadas y tengan vigencia hasta al menos el 31 de enero de 2025. Petición formal para recuperar medidas de emergencia El presidente del Colegio de Administradores de Fincas de Valencia y Castellón, Sebastián Cucala Crespo, ha solicitado formalmente a la Delegación del Gobierno en la Comunitat Valenciana que se adapten de manera urgente las normativas para permitir la celebración de juntas de propietarios por videoconferencia, en respuesta a la grave situación provocada por la DANA del 29 de octubre de 2024. Esta petición busca retomar las medidas excepcionales que se aprobaron durante la pandemia, según el artículo 3 del Real Decreto Ley 8/2021. Dicho artículo permitía la realización de juntas telemáticas y la adopción de acuerdos mediante voto por correo postal o comunicación digital, debido a la imposibilidad de desplazamientos físicos. Obstáculos para la gestión de las comunidades La tormenta DANA ha generado un escenario de restricciones de circulación, con vehículos dañados y muchos propietarios desplazados de sus residencias. Esta situación ha complicado tanto la movilidad de los administradores de fincas como la de los residentes, dificultando la toma de decisiones cruciales para restablecer los servicios esenciales en las comunidades afectadas. El Colegio de Administradores considera que en un contexto tan crítico, es fundamental facilitar la toma de decisiones para agilizar la recuperación de servicios y suministros en los edificios residenciales. Por ello, plantean que se habiliten de nuevo las juntas telemáticas para asegurar un marco legal que permita a los propietarios tomar decisiones con plenas garantías. Aplicación limitada y temporal La propuesta contempla que estas medidas sean aplicables exclusivamente en los municipios y zonas perjudicadas por la DANA. Asimismo, el Colegio ha solicitado que estas disposiciones tengan una vigencia inicial hasta el 31 de enero de 2025, aunque se está abierto a la posibilidad de extender dicho plazo si las circunstancias lo requieren.

  Audidat continúa su crecimiento en Andalucía con la apertura de una nueva delegación en Huelva, consolidando así su presencia en el sur de España y reafirmando su compromiso con el cumplimiento normativo. Esta nueva oficina, que inició sus operaciones en octubre, se sitúa como un punto de apoyo clave para el sector público y empresas con alta regulación, áreas donde la experiencia de Audidat resulta particularmente relevante y valiosa. Francisco José Aranda Rodríguez: nuevo delegado en Huelva La delegación de Huelva está liderada por Francisco José Aranda Rodríguez, profesional con una amplia trayectoria en la consultoría de cumplimiento normativo. Bajo su dirección, la oficina busca ofrecer un servicio cercano y personalizado a empresas e instituciones en la región, ayudando a gestionar y proteger su información sensible de acuerdo con las exigencias legales. Para consultas y asesoría, los interesados pueden contactar directamente a Francisco José Aranda en su correo electrónico: faranda@audidat.com. Un enfoque en sectores altamente regulados La llegada de Audidat a Huelva responde a la creciente necesidad de cumplimiento en empresas que operan en entornos regulados, como la industria agroalimentaria, el sector de servicios sanitarios y el ámbito energético. Estas áreas representan una parte importante del tejido empresarial onubense y son sectores en los que el cumplimiento de normativas resulta crítico. En este contexto, Audidat aporta una experiencia consolidada en sectores donde la regulación es particularmente estricta, especialmente en lo que respecta a normativas como el Reglamento General de Protección de Datos (RGPD). Un socio confiable para PYMEs y el sector público Audidat Huelva no solo está orientada a grandes empresas, sino que se presenta como un aliado esencial para las PYMEs de la región, que en muchos casos no disponen de los recursos para un departamento propio legal. La asesoría en Huelva se adapta a las necesidades de empresas de menor tamaño, facilitándoles el acceso a servicios de alta calidad y ayudándoles a cumplir con los requerimientos legales de una manera eficiente. Audidat Huelva: un paso más hacia la excelencia en cumplimiento normativo Con esta nueva delegación en Huelva, Audidat reafirma su compromiso de proximidad y especialización, brindando soluciones personalizadas y adaptadas a las particularidades del mercado local. Empresas e instituciones de Huelva ahora cuentan con el respaldo de un líder en cumplimiento normativo, que entiende las necesidades específicas de sectores regulados y que apuesta por la excelencia en cada uno de sus servicios. Para conocer más sobre los servicios de Audidat Huelva o solicitar asesoría, no dude en contactar con Francisco José Aranda Rodríguez en faranda@audidat.com.

La Autoridad Catalana de Protección de Datos (APDCAT) ha impuesto sanciones al Hospital Clínic y sus entidades asociadas por no cumplir con las medidas de seguridad mínimas. El ataque ocurrido en marzo de 2023 colapsó servicios esenciales del hospital y expuso miles de datos sensibles de pacientes. Las entidades afectadas, excepto Barnaclínic, deberán informar sobre las medidas correctoras implementadas hasta 2026. Los hackers exigieron un rescate de 4,5 millones de euros, que el hospital se negó a pagar, lo que derivó en la filtración de datos durante meses. La Autoridad Catalana de Protección de Datos (APDCAT) ha sancionado al Hospital Clínic de Barcelona y varias de sus entidades asociadas tras concluir que no contaban con las medidas de seguridad mínimas necesarias para prevenir ciberataques. La resolución llega después de una investigación iniciada a raíz del ciberataque sufrido por el centro hospitalario el 5 de marzo de 2023, que obligó a desprogramar operaciones no urgentes, aplazar sesiones de radioterapia y suspender consultas externas. Sanciones por falta de medidas de seguridad Según la APDCAT, el Hospital Clínic y sus entidades asociadas, como el Consorci d’Atenció Primària de Salut Barcelona Esquerra (CAPSBE), la Fundació de Recerca Clínic Barcelona – IDIBAPS y Barnaclínic, S.A., no habían implementado las medidas de prevención, detección y contención necesarias para proteger los datos personales de sus pacientes. Además, la investigación reveló que estas entidades no realizaron un análisis adecuado de riesgos para definir las medidas de seguridad que debían adoptar. Aunque Barnaclínic ha recurrido la decisión mediante un recurso contencioso-administrativo, el resto de entidades deberán presentar informes periódicos a la APDCAT hasta 2026 sobre las medidas correctoras que implementen para garantizar la protección de los datos. El ciberataque y sus consecuencias El ciberataque, atribuido al grupo de hackers Ransom House, paralizó gran parte de los servicios del hospital durante tres semanas y afectó la atención a los pacientes. Los atacantes exigieron un rescate de 4,5 millones de euros, pero la administración del hospital se negó a pagar, lo que provocó la filtración de datos en tres ocasiones a lo largo de cuatro meses. La APDCAT responsabilizó al Hospital Clínic como el principal encargado del tratamiento de los datos personales, señalando que la falta de medidas adecuadas comprometió la seguridad de miles de registros médicos. Medidas correctoras y prevención futura Como parte de la sanción, el Hospital Clínic y las entidades afectadas deberán presentar a la APDCAT un plan detallado de medidas de seguridad mejoradas, además de realizar un seguimiento continuo para garantizar su cumplimiento. El objetivo es evitar que incidentes similares vuelvan a ocurrir y proteger la confidencialidad de los datos de los pacientes. El caso del Hospital Clínic pone de manifiesto la vulnerabilidad del sector sanitario frente a ciberataques y subraya la necesidad de que las instituciones inviertan en ciberseguridad para proteger la información sensible de sus usuarios.

La digitalización ha transformado la hostelería en Aragón, pero también la ha expuesto a crecientes ciberataques. Según INCIBE, los ataques a pymes en España han aumentado un 30%, afectando a bares y restaurantes de todos los tamaños. Las principales vulnerabilidades incluyen contraseñas débiles, sistemas sin actualizar y errores humanos, por lo que la formación del personal es clave. Proteger los datos no solo evita pérdidas económicas, sino que también salvaguarda la confianza de los clientes. La hostelería en Aragón ha vivido una revolución con la llegada de la digitalización, mejorando la eficiencia y la comodidad en la gestión de reservas, pagos y atención al cliente. Sin embargo, esta transformación ha traído consigo un aumento en los ciberataques, que afectan tanto a pequeños bares como a grandes restaurantes en ciudades como Zaragoza, Huesca y Teruel. Los ciberdelincuentes no discriminan por el tamaño del negocio: cualquier establecimiento es un objetivo si no protege adecuadamente sus sistemas. Un sector estratégico y en riesgo La hostelería es clave no solo para la economía local, sino también para el turismo y la gastronomía de la región. Sin embargo, la dependencia de infraestructuras tecnológicas ha hecho que este sector sea especialmente vulnerable a los ataques cibernéticos. El Instituto Nacional de Ciberseguridad (INCIBE) reporta un incremento del 30% en los ciberataques dirigidos a pymes, incluidas aquellas del sector hostelero en toda España. Los riesgos no se limitan solo a la pérdida de datos personales; también pueden afectar la confianza de los clientes. Un ciberataque puede paralizar las operaciones de un negocio: desde la interrupción en el procesamiento de reservas y pagos hasta la imposibilidad de ofrecer servicios debido a un ataque de ransomware, donde los delincuentes exigen un rescate para desbloquear los sistemas. Errores humanos: la principal causa de los ciberataques Muchos de estos incidentes son consecuencia de fallos humanos: contraseñas débiles, software desactualizado o abrir correos electrónicos maliciosos. Por ello, la formación en ciberseguridad para el personal es crucial. Como señala Bruce Schneier, experto en seguridad: “La seguridad es un proceso, no un producto”. No basta con instalar un antivirus y olvidarse; se requiere una estrategia integral que incluya: Auditorías de seguridad periódicas para detectar vulnerabilidades. Encriptación de datos sensibles para proteger la información de los clientes. Uso de doble autenticación para acceder a sistemas críticos. Implementación de políticas de seguridad claras y formación continua para empleados. La importancia de una estrategia de ciberseguridad integral La protección de datos no es solo un requisito legal, sino una necesidad para mantener la reputación y la confianza de los clientes. Los establecimientos hosteleros deben contar con el apoyo de profesionales en ciberseguridad para diseñar e implementar medidas que protejan tanto sus sistemas como la información de sus clientes. Aunque la digitalización ha mejorado la experiencia del cliente, los negocios no pueden bajar la guardia en materia de seguridad. Contar con asesoría especializada y adoptar buenas prácticas es la mejor manera de prevenir ciberataques y garantizar un servicio de calidad.  

La AEPD ha multado a Seat por utilizar ‘cookies’ en su web antes de obtener el consentimiento de los usuarios, lo que infringe la Ley de Servicios de la Sociedad de la Información (LSSI). La sanción propuesta podría alcanzar los 20.000 euros, aunque podría reducirse a 16.000 euros si Seat reconoce su responsabilidad en el plazo establecido. La web de Seat utilizaba ‘cookies’ técnicas y de funcionalidad sin autorización previa y, además, continuaba empleando ‘cookies’ de segmentación tras la revocación del consentimiento por parte del usuario. La Agencia Española de Protección de Datos (AEPD) ha sancionado a Seat por no cumplir con la normativa sobre el uso de ‘cookies’ en su sitio web, de acuerdo con la Ley 34/2002 (LSSI). Según el documento sancionador fechado el pasado 18 de septiembre, Seat habría instalado ‘cookies’ en los navegadores de los usuarios antes de que estos dieran su consentimiento, lo que contraviene la legislación vigente en España. Uso de ‘cookies’ sin consentimiento previo La AEPD verificó que, al ingresar en la web de Seat tras limpiar el historial de navegación y sin aceptar ‘cookies’, el portal seguía utilizando ‘cookies’ técnicas que permiten el funcionamiento básico de la página. Sin embargo, también se detectaron ‘cookies’ de funcionalidad que, aunque mejoran la experiencia del usuario recordando sus preferencias, no son esenciales para el funcionamiento del sitio y requieren el consentimiento explícito del usuario. Además, la agencia comprobó que la web de Seat utilizaba ‘cookies’ de segmentación, diseñadas para rastrear los hábitos de navegación y mostrar anuncios personalizados. Estas ‘cookies’ se seguían utilizando incluso si el usuario intentaba retirar su consentimiento a través del panel de control disponible en la política de ‘cookies’ de la página. Falta de opciones claras para revocar el consentimiento El procedimiento sancionador señala que, aunque el sitio web de Seat permite a los usuarios modificar o retirar su consentimiento, al seleccionar la opción de “rechazar opciones”, la web continuaba utilizando ‘cookies’ no esenciales previamente instaladas. Esto implica una violación del derecho de los usuarios a retirar su consentimiento de forma efectiva en cualquier momento. La AEPD ha recordado a Seat que los usuarios deben poder retirar su consentimiento cuando lo deseen y que la recopilación de datos mediante ‘cookies’ no autorizadas puede constituir una infracción grave de las normativas de privacidad. Multa de hasta 20.000 euros, con posibilidad de reducción Tras la investigación, la AEPD ha propuesto una sanción de hasta 20.000 euros para Seat. Sin embargo, la compañía tiene la opción de reconocer su responsabilidad y beneficiarse de una reducción del 20% en la cuantía, lo que reduciría la multa a 16.000 euros si la admite dentro del plazo otorgado. Esta sanción se suma al creciente escrutinio que están recibiendo las empresas por parte de las autoridades de protección de datos, en un contexto donde la privacidad y el uso correcto de la información de los usuarios se han convertido en una prioridad para los reguladores.

El Real Decreto 933/2021 puede obligar a los hoteles a recopilar hasta 43 datos de sus huéspedes, lo que ha suscitado críticas en el sector por potenciales vulneraciones de la privacidad. Los hoteles deben cumplir con el principio de minimización, limitando el tratamiento de datos personales a lo estrictamente necesario para sus servicios. El uso de tecnologías basadas en IA plantea retos en la protección de datos, requiriendo un enfoque de «privacidad desde el diseño» y evaluación previa para evitar riesgos. Los huéspedes tienen derechos fundamentales, como el de ser informados sobre el tratamiento de sus datos, el acceso, rectificación y supresión. En caso de negativa a proporcionar datos esenciales para el registro, el hotel puede denegar el servicio de hospedaje. Las medidas de seguridad en la gestión de datos son clave para evitar sanciones por brechas de seguridad. La gestión de datos en los hoteles: desafíos ante el Real Decreto 933/2021 El check-in en un hotel puede convertirse en un momento de incertidumbre para los huéspedes debido al volumen de datos personales que deben facilitar. A esto se suman las nuevas exigencias normativas, como el Real Decreto 933/2021, que requiere que los hoteles recopilen más información de sus clientes, incluidos métodos de pago y detalles sobre relaciones de parentesco en caso de menores. Según los expertos de Ceca Magán Abogados, esta normativa busca mejorar la seguridad ciudadana al compartir más datos con los cuerpos de seguridad, pero también ha generado preocupaciones por su posible conflicto con el principio de minimización en la protección de datos. Esta regla establece que solo deben recopilarse los datos estrictamente necesarios para la prestación del servicio. La obligación de registrar y comunicar más datos podría, en algunos casos, ser excesiva y contraria a la normativa de privacidad. Derechos de los huéspedes y el reto de la transparencia Los huéspedes tienen derechos fundamentales sobre sus datos personales, como el derecho a ser informados sobre el uso de su información, el acceso a sus datos, la rectificación de errores y la eliminación (derecho al olvido). Sin embargo, muchas veces estos derechos no se comunican de manera clara. El uso de un lenguaje técnico y denso en las políticas de privacidad puede dificultar la comprensión, lo que va en detrimento del principio de transparencia. Es esencial que los hoteles mejoren la comunicación y faciliten a los huéspedes el acceso a esta información, asegurando que las políticas de privacidad sean claras y accesibles. Seguridad y gestión de brechas de datos Los hoteles manejan un gran volumen de información personal, lo que los convierte en un objetivo atractivo para ciberataques. Por ello, deben implementar medidas de seguridad robustas para proteger los datos de los clientes y mitigar posibles fugas de información. En caso de una brecha de seguridad, es crucial contar con políticas internas que permitan identificar y gestionar rápidamente el incidente. Los hoteles deben evaluar el impacto de la brecha en los derechos de los afectados y, si es necesario, notificar tanto a la Agencia Española de Protección de Datos (AEPD) como a los usuarios afectados. La respuesta adecuada puede ser un factor determinante para mitigar el daño reputacional. El uso de la IA en el sector hotelero: oportunidades y riesgos La inteligencia artificial (IA) se está introduciendo en el sector hotelero para mejorar la experiencia del cliente y optimizar la gestión operativa, desde la automatización del check-in hasta la personalización de servicios. Sin embargo, su implementación debe alinearse con el Reglamento de IA aprobado este año, que exige una evaluación previa de conformidad para sistemas que puedan clasificarse como de alto riesgo. Por ejemplo, mientras que el uso de chatbots para la atención al cliente puede ser relativamente seguro, otros sistemas que recojan datos sensibles o tengan un alto impacto en la privacidad deben someterse a evaluaciones exhaustivas para garantizar el cumplimiento de la normativa de protección de datos. ¿Puede un hotel negar el servicio si un huésped no proporciona sus datos? Sí, un hotel puede negarse a prestar sus servicios si un cliente se niega a proporcionar la información necesaria tanto para cumplir con la normativa legal como para formalizar la reserva. En estos casos, el establecimiento está amparado por la ley para exigir los datos que considera esenciales, especialmente aquellos que deben ser comunicados a las autoridades de seguridad.

El 28 de octubre, una Declaración Conjunta reafirmó que los datos personales accesibles públicamente siguen estando protegidos por la ley. La Agencia Española de Protección de Datos (AEPD) y otras autoridades subrayan que el scraping no autorizado puede ser considerado una violación de la privacidad. Las empresas, incluidas las pymes, deben adoptar medidas de seguridad como el uso de CAPTCHAs y la detección de bots. Se enfatiza la necesidad de base legal y transparencia en el uso de datos personales, incluso en el entrenamiento de modelos de IA. El pasado 28 de octubre, diversas autoridades de protección de datos a nivel mundial, entre ellas la Agencia Española de Protección de Datos (AEPD), emitieron una Declaración Conjunta para reafirmar su postura respecto al uso indebido del «data scraping». Este comunicado complementa las pautas iniciales de agosto de 2023, subrayando que, aunque cierta información sea accesible públicamente, sigue protegida bajo las leyes de protección de datos. Protección de datos y responsabilidad de las plataformas La declaración insta a las plataformas, especialmente las de redes sociales, a proteger los datos de los usuarios contra el scraping no autorizado, que puede implicar una violación de la privacidad y considerarse como una brecha de seguridad. Esto no solo afecta a las grandes tecnológicas, sino también a pequeñas y medianas empresas (pymes) que deben implementar medidas de protección como la detección de bots, restricciones de acceso y sistemas de verificación como CAPTCHAs. Las autoridades destacan que los responsables del tratamiento de datos deben actualizar sus medidas de seguridad en función del avance tecnológico. A pesar de que la inteligencia artificial (IA) puede ser utilizada para eludir controles, también puede servir como herramienta para fortalecer la protección contra el scraping. Scraping permitido por contrato y sus limitaciones En relación con el scraping que se realiza bajo un acuerdo contractual, la declaración enfatiza que los contratos no pueden por sí solos legalizar esta práctica. Las organizaciones deben asegurarse de que el acceso a los datos personales tenga una base jurídica válida y deben ser transparentes en cuanto a los permisos concedidos para el scraping, obteniendo el consentimiento cuando sea necesario. Además, se requiere que los contratos establezcan límites claros y las consecuencias ante el uso indebido de los datos. Las plataformas deben vigilar activamente el cumplimiento de estos acuerdos y tomar medidas correctivas si se detectan infracciones. Uso de datos personales en el entrenamiento de modelos de IA Otro aspecto crucial que aborda la declaración es el uso de datos personales para entrenar modelos de inteligencia artificial. Se insta a las organizaciones que desarrollan IA generativa a cumplir estrictamente con las leyes de protección de datos y seguir las directrices establecidas por organismos internacionales. Las autoridades recuerdan que el uso indebido de datos personales en IA puede conllevar serios riesgos para la privacidad, y que las organizaciones deben cumplir con las normativas locales en cada jurisdicción para evitar sanciones.