Buscar en este blog

lunes, 20 de diciembre de 2010

Seguridad de las Redes Sociales

Las Redes Sociales, son parte de la llamada web 2.0 y cada día son más utilizadas por las empresas y profesionales, como herramienta de marketing, lo que plantea ciertos aspectos controvertidos en materia de Protección de Datos Personales, que la Agencia Española de Protección de Datos está estudiando.

Pero uno de los mayores problemas que se plantea ahora estas redes sociales, es el “Malware”, pues según un artículo publicado en la revista PC Actual (http://blog.pcactual.com/2010/11/24/mucho-ojo-con-la-seguridad-en-facebook/1616/) de un informe de la empresa BitDefender, uno de cada cinco usuarios de Facebook sufre infecciones a través de sus perfiles. Sustituyendo al tradicional de infectar mediante el correo electrónico.

Las organizaciones que están presentes en estas redes sociales han de extremar las medidas de seguridad, para garantizar la integridad de sus sistemas de información y evitar tener una mala “reputación digital”. Teniendo en cuenta, que en la mayoría de las infecciones se producen mediante programas que ofrecen acciones prohibidas en las redes sociales, como comprobar quien ha visitado tu perfil o quién te ha borrado, pero también mediante juegos o productos gratuitos.

Como los riesgos y amenazas siempre están por delante de la seguridad, no debemos descuidar las medidas adoptadas de seguridad, tanto en el uso, como las barreras que impidan ser infectados.

jueves, 9 de diciembre de 2010

Derecho de Cancelación en Google

La Agencia Española de Protección de Datos, en su resolución nº R/00554/2010, de 12 de marzo de 2010, en un procedimiento de tutela de derechos, presentado por una persona, sobre unos comentarios aparecidos en un blog de www.blogspot.com (también propiedad de Google), como el buscador de internet, que no fue atendido por la sucursal de Google en España, para cancelar unos comentarios con datos personales aparecidos en uno de los blog, a determinado que Google España es responsable de que sean cancelados esos datos.

En las 26 páginas que tiene la resolución, se hace un repaso a la legislación sobre privacidad y protección de datos, no solo española, sino también europea, incluso a la Ley de Servicios de la Sociedad de la Información (LSSI), desbrozando incluso las líneas de negocio de Google y la obligación de cumplir con la normativa en cada país de la Unión Europea.

También se habla claramente del conflicto entre la libertad de expresión y el derecho a la protección de datos y la intimidad. Dejando claro que este derecho tiene su límite en el respeto a los derechos reconocidos en el Título I de la Constitución, en los preceptos de las leyes que lo desarrollan y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia.

Como queda claro, podemos ejercer nuestros derechos ante los buscadores y estos han de atenderlos o podrá ser solicitada la tutela de derechos a la Agencia Española de Protección de Datos.

lunes, 22 de noviembre de 2010

III Sesión Anual Abierta de la AEPD

Como en los años anteriores, el pasado día 20 de octubre de 2010, se ha celebrado la III Sesión Anual Abierta de la Agencia Española de Protección de Datos, con la presencia de más de 800 profesionales, entre los que nos incluimos.

Podemos destacar el papel que está teniendo la Agencia en cuanto su liderazgo en materia de Protección de Datos y Privacidad, a nivel europeo y mundial en algunos temas.

También es destacable el papel que está teniendo en la implantación de la administración electrónica en organismos públicos (e-administración), para lo que está realizando la “Guía sobre Protección de Datos en las Administraciones Publicas y la Administracion Electrónica”.

Pero el interés de todos los asistentes es la repercusión de la sentencia del Tribunal Supremo sobre el Reglamento de la LOPD, destacando que de 27 artículos recurridos, se ha confirmado la legalidad de 22 y de la disposición adicional única, dejando imprejuzgado un artículo y anulando 4.

El articulo imprejuzgado es el 10.2, que hace referencia a los casos en que es posible ceder datos personales sin necesidad de consentimiento del interesado, pues la sala tiene dudas sobre el planteamiento.

Como siempre, se hizo referencia a los principales casos que ha tramitado la inspección, sobre temas de morosidad, publicación de datos en Internet sin consentimiento y videovigilancia.

La subdirectora General del Registro General de Protección de Datos, nos informo de que ya se ha alcanzado la cifra de 2 millones de ficheros inscritos y sobre diferentes cuestiones presentadas como la necesidad de inscripción de particulares, comunidades de vecinos, etc.

Esperamos que el próximo año, vuelva a realizarse estas jornadas, que permiten mantener contacto directo con la Agencia y sus responsables, asi como solucionar dudas y ver cómo está el mundo de la Protección de Datos.

domingo, 24 de octubre de 2010

PAY FOR PRIVACY

En la web 2.0 existe una nueva moneda de cambio, la información personal, lo que da una apariencia de gratuidad, pero con valor económico, esto es conocido como “Pay for privacy”.

Gracias a las redes sociales, nuestra identidad digital coincide con la real, ya pasaron los tiempos de los “Apodos-Alias” que todo el mundo utilizaba al principio de la era de internet, ante el posible riesgo para su seguridad y el desconocimiento de que pasaba en la red….

Esta identidad digital, la forman toda nuestra información personal, que es la forma de pagar para disfrutar de servicios gratuitos en la red, pero que las empresas propietarias de estos servicios utilizan para poder ofrecer un mejor servicio publicitario a sus anunciantes, que es su verdadero modelo de negocio, pero que no sería posible sin este “Pago por privacidad”.

Los actuales modelos, permiten una segmentación ideal para los anunciantes, no solo por edad, situación, sexo, etc… sino que pueden llegar a segmentar por muchísimos más conceptos, tomando como referencia, por ejemplo, a que grupos estamos apuntados, el numero de amigos, etc…

Pero no solo los anunciantes utilizan estos datos… También lo hacen las empresas antes de contratar un trabajador, los departamentos de compras, etc…

Tenemos que desterrar que Internet es gratis… Pagamos con nuestra privacidad.

jueves, 7 de octubre de 2010

La formación en materia LOPD-LSSI

La Ley Orgánica de Protección de Datos Personales y la Ley de Servicios de la Sociedad de la Información, son dos leyes que están en continua evolución, en cuanto a las sentencias e interpretaciones de la propia ley, que pueden llegar a modificar el marco de aplicación real de las mismas.

La única forma de estar al día de las sentencias de los tribunales, de los procedimientos, guías, etc. de la Agencia Española de Protección de Datos, es estar en continua formación y disponer de los medios adecuados para seguir la evolución.

Por eso, nuestra empresa está integrada como marca, dentro de un Despacho de Abogados, lo que nos permite seguir la evolución, mediante las diferentes sentencias de los tribunales o de la Agencia Española de Protección de Datos.

Así mismo, participamos en gran número de acciones formativas, como la realizada esta semana (días 4,5 y 6) por la Universidad Internacional Menéndez Pelayo de Valencia, dirigida por el Director de la Agencia Española de Protección de Datos, D. Artemi Rallo Lombarte y la participación de Ricard Martínez Martínez, coordinador del área de estudios de la Agencia. Sobre protección de datos, tecnologías de la información y sistema educativo.
Treinta horas de formación, en las que hemos podido disfrutar de la participación como ponentes de entre otros: D. Artemi Rallo Lombarte, Director de la Agencia Española de Protección de Datos; D. Arturo Canalda González, Defensor del menor de la Comunidad de Madrid; Dña. Elisenda Malret Garcia, Catedratica de Derecho Administrativo de la Universidad de Barcelona; D. Ricar Martínez Martínez, Coordinador del Área de Estudios de la AEPD; D. José López Calvo, Subdirector General de Inspección de la AEPD; D. Icaro Moyano Díaz, Director de Comunicación de Tuenti; D. Víctor Izquierdo Loyola, Director General del Instituto de Tecnologías de la Comunicación (INTECO); Dña. Bárbara Navarro, Directora de Relaciones Institucionales de Google España….

Esta formación hace posible que estemos actualizados a los últimos conocimientos en la materia, imprescindible para realizar un buen trabajo y ofrecer un mejor servicio.

viernes, 24 de septiembre de 2010

Facilitar datos de los Socios de una Asociación

En el informe 0038/2010 de la Agencia Española de Protección de Datos (AEPD), se plantea la legalidad de comunicar los datos de los asociados a uno de ellos….

Existe la posibilidad de que este autorizada directamente por el interesado, mediante el correspondiente consentimiento.

Pero para los casos, como pueden ser unas elecciones a la Junta Directiva, donde se proporcione la información a los candidatos, la Agencia, indica que “la comunicación a los asociados de los datos de carácter personal de los demás asociados, será posible en la medida en que la misma se encuentre expresamente prevista en los Estatutos de la Asociación, dado que solo en ese caso sería posible entender dicha cesión amparada en el articulo 11.2 c) de la Ley Orgánica 15/199, única norma que podría invocarse como legitimadora del tratamiento de los datos sin contar con el consentimiento de los propios asociados”.

Por lo tanto, para la cesión del listado en que se contengan sus datos deberá estarse a lo dispuesto en los Estatutos de la Asociación, respecto a la cesión del listado de socios a los demás asociados y a las finalidades con que está este prevista, de forma que no podrá llevarse a cabo a falta de previsión expresa ni con fines distintos a los recogidos en dichos Estatutos.

Recomendamos a las Asociaciones que revisen sus Estatutos y los adapten a la normativa en materia de protección de datos personales, incluyendo los casos en los que será posible la comunicación de datos, que datos se facilitaran y que uso le les podrá dar a los mismos.

jueves, 16 de septiembre de 2010

Guía tecnología RFID

La Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Tecnologías de la Comunicación (INTECO), han elaborado una guía sobre seguridad y privacidad de la tecnología RFID.

Estas “etiquetas” que todos conocemos por ser utilizadas como “alarmas anti robo” en muchas empresas, pueden ser utilizadas para muchas más cosas, al tratarse de un emisor que permite identificar inequívocamente cada una de las señales. Incluso las hay bidireccionales y programables.

Gran número de empresas de tecnología están trabajando para ampliar el uso de estas etiquetas, que ya son utilizadas para la gestión de envíos, stock de almacén, etc. pero que podrían llegar a ocasionar problemas de seguridad si son mal utilizadas, especialmente sin nuestro consentimiento.

Recomendamos destruir estas etiquetas, una vez realicemos la compra de productos, para evitar problemas con las alarmas, pero también, para evitar que analicen nuestros datos, creando perfiles o incluso, que sirvan de puerta de entrada en nuestros sistemas de información.

Esto permitiría elaborar perfiles personales e incluso ser una puerta de entrada a otros sistemas de información. Puede encontrar la guía pinchando aquí.

jueves, 2 de septiembre de 2010

El fraude de la Protección de Datos a coste 0,0 €

Como informa el diario PUBLICO, en su edición digital de 2 de septiembre de 2010, el Servicio Público de Empleo (INEM) y la Agencia Tributaria, están investigando el fraude producido con las implantaciones y auditorias para cumplir con la Ley de Protección de Datos, utilizando los fondos de la Fundación Tripartita.

Esta cuestión de la que ya hemos hablado en este blog, comenzó a investigarse por las denuncias de las empresas de consultoría, que veíamos como se engañaba a las empresas y a los trabajadores, ofreciendo la implantación de las medidas necesarias a coste 0,0 €, y cobrando de las subvenciones para formación de la citada Fundación Tripartita.

Esto no solo constituye un fraude en el uso de estos fondos, que ya ha sido motivo de investigación para 715 empresas, en las que se han encontrado irregularidades, sino que constituye también un fraude a por el IVA no cobrado, que se ha de aplicar a los trabajos de consultoría y que están exentos en el caso de los cursos de formación.

Muchas empresas de las que han estado “ahorrando”, se verán ahora con importantes sanciones y la obligación de devolver los importes de los fondos de formación continuada.

jueves, 26 de agosto de 2010

Sentencias del Tribunal Supremo sobre el Reglamento de la Ley de Protección de Datos

Recientemente, diferentes sentencias del Tribunal Supremo (Sala de lo Contencioso Administrativo), han estimado parcialmente los recursos presentados por la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF), Federación de Comercio Electrónico y Marketing Directo y Experian Burreau de Crédito SA, contra algunos artículos del Reglamento de Desarrollo de la LOPD.

Han quedando imprejuzgada por cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, el articulo 10.2 a) y b), de lo que tendremos informado.

Pero lo que sí afecta a este reglamento, es la anulación de los artículos 18 y 123.2 en su totalidad y 38.1 a), en parte.

El artículo 18, habla de la acreditación del cumplimiento del deber de información, lo que sin duda evitara gran número de sanciones.
El artículo 123.2 de la Autorización por el Director de la Agencia Española de Protección de datos, que en supuestos excepcionales, podía designar a funcionarios no habilitados para las labores de inspección.

La parte anulada del articulo 38.1 a) “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa…..” permite la inclusión en los ficheros de morosidad de todas las deudas vencidas, sin iniciar reclamación de ningún tipo.

lunes, 2 de agosto de 2010

Informe del Grupo del Articulo 29 – Publicidad online basada en comportamiento

El informe, de fecha 22 de Junio de 2010, del Grupo del Articulo 29 de la Directiva 95/46/EC, sobre publicidad online basada en el comportamiento, en relación a los navegadores y empresas de publicidad que utilizan cookies, establece, para la nueva Directiva sobre privacidad en telecomunicaciones (136/2009/CE), la necesidad de autorización por parte del usuario.

La mayoría de navegadores analizados por este grupo de trabajo, permiten el uso de cookies por defecto, cuestión esta que tendrá que ser variada y obligara a introducir mecanismos de autorización y cancelación, sencillos para los usuarios.

Además, las redes de publicidad y los editores de páginas web, tendrán que informar de forma clara y precisa sobre el uso de esta técnica, de forma que el usuario pueda tomar una decisión meditada sobre la autorización de este mecanismo.

Así mismo, recomienda no utilizar este tipo de publicidad, para los menores de edad, debido a su vulnerabilidad.

A la espera de su trasposición a la legislación nacional, recomendamos a los encargados de páginas web, que se adecuen a esta nueva normativa europea.

lunes, 19 de julio de 2010

Sanción por Notificar Conductor que no trabaja en la empresa

Recientemente, la Agencia Española de Protección de Datos, ha sancionado con 60.101,21 € al responsable de una empresa, por notificar como conductor de un vehículo de renting a un empleado que ya no trabajaba en la empresa en el momento de las denuncias.

Lo normal, mas con la nueva ley de seguridad vial, es tener un conductor asignado que al llegar las sanciones a la empresa de renting o leasing, comunique el conductor asignado al organismo sancionador.

Esta empresa, no tenía un conductor asignado, pero en algún momento, alguien lo incluyo como conductor habitual en el sistema informático y por lo tanto se comunico al organismo sancionador, lo que ha supuesto el intento por parte de este organismo, de cobrar las correspondientes sanciones y detraer los puntos del permiso de conducir.

Gracias a una vida laboral, donde está claro que ya no es empleado de esa empresa, en las fechas de las denuncias, ha conseguido evitar las sanciones y la pérdida de puntos.

Además, la denuncia presentada a la Agencia Española de Protección de Datos, ha permitido que se sancione a la empresa.

Está claro, que para muchas empresas, cumplir con la Ley de Protección de Datos, se limita a tener registrados los ficheros, y como mucho, disponer de un documento de seguridad, pero no se realizan efectivamente los procedimientos de seguridad indicados en los mismos….

martes, 6 de julio de 2010

La Gestión de Copias de Seguridad

La mayoría de las organizaciones, no tienen implementado correctamente un sistema de copia de seguridad de sus datos, cuestión marcada por la normativa en Protección de Datos, que además nos facilita la continuidad de las operaciones ante problemas inesperados, como la rotura de un disco duro, un virus, etc.

¿Resistiría su organización a una incidencia sin las copias de seguridad? Seguramente no, pues los procesos manuales no se realizan con la regularidad suficiente, los soportes donde se almacena en ocasiones no son correctos para los datos o simplemente, para evitar tardar, realizamos copias de algunos archivos….

La mejor manera de cumplir con la normativa y garantizar la continuidad de la actividad, es contar con un sistema automático, que cumpla con los requisitos de seguridad necesarios y de información sobre el correcto funcionamiento de las copias.

Nosotros podemos ofrecer uno de los mejores servicios de España, gracias a nuestro acuerdo con Seycob, lo que le permitirá cumplir con la normativa y estar seguro de tener sus datos disponibles ante una incidencia de seguridad.

Solicítenos información y dispondrá de un mes de prueba GRATIS. informacion@bono-che.es

Recuerde probar su sistema de copias, mediante una restauración programada, cada seis meses.

viernes, 25 de junio de 2010

La Memoria de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD), presento a primeros de mes, su memoria anual, en la que queda claro, que cada vez son mayoría el numero de organizaciones que cumplen con el requisito de registrar los ficheros y entendemos que cumplen con el resto de la normativa.

Las reclamaciones planteadas a la AEPD, también han aumentado considerablemente, un 75 %, siendo de superiores a las 4.100, lo que indica una mayor conciencia de los ciudadanos con esta normativa y el manejo de sus datos personales.

Los sectores mas investigados han sido telecomunicaciones, entidades financieras y videovigilancia, pero también Administraciones Publicas, comunicaciones comerciales (spam), profesionales, administradores de fincas, comunidades de propietarios, servicios de internet, comercio, transporte, hostelería, sanidad, recursos humanos, asociaciones, federaciones, colegios profesionales, ONG, fundaciones y club, entre los más investigados.

También destacamos la opinión de la AEPD en torno a la Directiva 20025/58/CE, que puede hacer modificar ciertos aspectos de las páginas web, como el uso de “cookies”, en un futuro.

Pero si algo destaca claramente, es el aumento de Resoluciones, en un 60,42% en el último año, situándolas en 5.852, lo que ha supuesto una recaudación de 24.872.979,72€. Una importante cantidad económica que sirve para financiar a la propia Agencia de Protección de Datos.

viernes, 11 de junio de 2010

Derecho de oposición a las imágenes de un Trabajador

En diferentes resoluciones de tutela de derechos, la Agencia Española de Protección de Datos, ha considerado que los trabadores no pueden ejercitar su derecho de cancelación sobre las imágenes captadas por las cámaras de seguridad en las instalaciones de la empresa.

Además de la normativa de protección de datos, siempre se hace referencia al artículo 20.3, del Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, que establece “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

Por lo tanto, utilizar cámaras para vigilar el cumplimiento de las obligaciones laborales, está permitido. Eso sí, siempre es necesario informar que se tienen instaladas estas cámaras y cumplir con toda la normativa de Protección de Datos.

viernes, 21 de mayo de 2010

Google y las redes Wi-Fi

La Agencia Española de Protección de Datos, ha emitido una nota de prensa de 19 de mayo de 2010, informando de la apertura de una investigación contra Google, por la captación de datos de redes Wi-Fi en España.

Esta empresa ha reconocido que los vehículos utilizados para realizar las fotografías de su producto StreetView, también son utilizados para captar y almacenar la localización de las redes Wi-Fi, como datos de identificación de la red, direcciones MAC y “por error” datos de tráfico asociado a estas redes (datos transferidos mediante redes abiertas).

Esto, sin duda, podría constituir una vulneración de la Ley Orgánica de Protección de Datos, por lo tanto, se ha solicitado a la empresa toda la información referente al asunto, que puede afectar a un gran número de ciudades españolas. Solicitando el bloqueo de los datos de trafico asociados a estas redes.

Parece claro que Google no realiza sus productos teniendo en cuenta la privacidad, pues como ya hemos publicado en el anterior artículo, un grupo de Agencia de Protección de Datos, ya le ha solicitado cambios en Google Buzz.

Ejemplarizar con estas grandes multinacionales es importante, para evitar que el resto pensemos que vale todo, pues ellos lo hacen….

viernes, 14 de mayo de 2010

Las Agencias de Protección de Datos contra Google

El pasado 20 de Abril de 2010, la Agencia Española de Protección de Datos y las de otros nueve países, han solicitado a Google, mayor respeto por las leyes de privacidad, ya que debería dar ejemplo, como líder del mercado.

El caso concreto de Google Buzz, que en su lanzamiento en versión Beta, ha generado innumerables problemas de privacidad y control de los datos personales, hace saltar las alarmas y quejas de los usuarios y de las agencias de protección de datos de medio mundo.

Google ya tuvo problemas con el Street View, que no respetaba las normas de privacidad en su lanzamiento al mercado, cuestión que se fue corrigiendo con el paso de los meses. Por lo tanto, consideran que esta empresa no se toma en serio las leyes de privacidad imperantes en la mayoría de países del mundo, cuando realiza lanzamientos de productos a nivel mundial.

Entre las recomendaciones realizadas están las siguientes:

1. Recoger y archivar los datos mínimos necesarios para lograr el fin determinado del producto o servicio.
2. Dar información clara y no ambigua, con respecto al uso que se va a dar a los datos, esta información ha de darse previo al otorgamiento del consentimiento.
3. Crear procedimientos en evitación de fallos en la protección de datos.
4. Asegurar que los controles de privacidad establecidos son suficientes y fáciles de usar.
5. Asegurar que todos los datos personales están adecuadamente protegidos.
6. Facilitar a los usuarios procedimientos simples para borrar sus cuentas y contestar a sus requerimientos, en dicho sentido, en el plazo más breve posible.

Carta (en ingles): pinche aquí.

viernes, 16 de abril de 2010

Comunicado de la Fundación Tripartita para la Formación en el Empleo

La Fundación Tripartita para la Formación en el Empleo, ha colgado un comunicado en su página web, sobre la “Utilización de bonificaciones para LOPD”, en relación a las empresas que realizan formación para sus trabajadores, en previsión de errores en las bonificaciones relacionadas con la implantación de sistemas de protección de datos de carácter personal.

Alerta de la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoria y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para formación, que pude llegar a ser constitutivo de fraude.

Muchas empresas que han utilizado este sistema, se verán ahora obligadas a devolver las bonificaciones, e incluso pueden ser sancionadas, por la incorrecta utilización de estos fondos.

Además, se ha habilitado una cuenta de correo electrónico servicioalcliente@fundaciontripartita.org para que se denuncien estas prácticas, incluidas las meras ofertas por parte de supuestas empresas especializadas en Protección de Datos (LOPD-LSSI).

Animamos desde esta página, a denunciar esta práctica y a terminar con un fraude que parecía estar extendiéndose en los últimos años, con el perjuicio que supone para los profesionales del sector, que invertimos muchas horas de trabajo en realizar un trabajo de calidad.

viernes, 9 de abril de 2010

Sanción a una administración de fincas

La Agencia Española de Protección de Datos, ha sancionado a un Administrador de fincas, por infracción del artículo 10 de la LOPD, tipificada como leve, con 6.000,00 €.

En la Junta General de la Comunidad de Propietarios, dentro de las explicaciones sobre la gestión realizada por esa administración de fincas, se incluyo un listado con los nombres, cuentas corrientes e importes de los recibos domiciliados.

Ellos se amparan en la Ley de Propiedad Horizontal y un informe del Gabinete Jurídico de la Agencia de Protección de Datos, como comunicación de información a los comuneros que lo soliciten.

En realidad, no es necesario la revelación de estos datos, en el supuesto informe contable para informar a los comuneros. El informe de la Agencia se refería a la información sobre los empleados de la comunidad, no a la revelación de cuentas bancarias a todos los vecinos.

Las comunidades de propietarios y los administradores de fincas, en muchos casos desconocen la normativa de Protección de Datos y en otros, simplemente no la aplican. Recordamos la obligación de cumplir con esta normativa en su totalidad, siendo el Responsable del Fichero la comunidad de propietarios y pudiendo ser Responsable de Tratamiento el administrador de fincas.

martes, 30 de marzo de 2010

Multa a un Estanco por emitir facturas con datos de curriculum-vitae

La Agencia Española de Protección de Datos, ha multado a la titular de un estanco, por emitir facturas con los datos de los curriculum-vitae dejados por los solicitantes de un puesto de trabajo, con 60.101,21 € por infracción del artículo 6.1 de la LOPD.

Ella alega que se trata de un error, que debió de pulsar la tecla equivocada o la carpeta equivocada, por las prisas…. Cuando les solicitan aportar los titulares reales de las facturas, ninguno recibe la notificación en su domicilio.

La utilización de datos personales está ampliamente regulada y uno de los requisitos es aplicar los protocolos de seguridad que figuran en el documento de seguridad de la empresa. No pudiendo ser posible la equivocación que ellos alegan y en caso de producirse, los titulares reales recibirían las notificaciones de la Agencia, pero ninguno lo hace…. Curioso

Seguramente, a esta multa se unirán las sanciones del Comisionado del Tabaco, de la Agencia Tributaria, etc.

jueves, 11 de marzo de 2010

Los Informes Jurídicos de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD), mediante su Gabinete Jurídico, emite informes a las consultas realizas, lo que las convierte en vinculantes.

En uno de los últimos, Informe 0325/2009, se intenta aclarar las obligaciones de información en relación con los empleados.

Primero aclara que “No será preciso el consentimiento del afectado cuando los datos de carácter personal se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”.

También nos indica, que cualquier recogida y tratamiento de datos de los trabajadores que exceda de los datos necesarios para la creación y mantenimiento de la relación contractual, requerirá el consentimiento del trabajador afectado.

Se hace especial hincapié en las cesiones previstas de datos, para ciertos tratamientos, legitimados por gran número de leyes, como la de Prevención de Riesgos Laborales, el Convenio Colectivo, Ley de Trafico, Circulación de Vehículos a Motor, Seguridad Vial, etc. Así como lo relativo a la Ley 41/2002 de la Autonomía del Paciente, en relación a los datos médicos y documentación clínica.

En definitiva, recomendamos su lectura, en la página web de la Agencia.

lunes, 22 de febrero de 2010

LA EXCUSA DE LA PROTECCIÓN DE DATOS

La normativa de protección de datos de carácter personal, para garantizar este derecho fundamental, implementa gran número de normas y disposiciones, incluidas las de la Agencia Española de Protección de Datos (AEPD).

Con el tiempo, más organizaciones públicas y privadas, están adaptadas a esta normativa, unas solo en apariencia y otras realmente cumpliendo con los protocolos de seguridad necesarios.

Ahora bien, estos protocolos son más suaves cuando se trata de contratar servicios que cuando se trata de realizar, por ejemplo una baja de servicio, he incluso, entre algunos organismos, está de moda utilizar la escusa de la protección de datos para no realizar ciertos procedimientos o actuaciones, a las que tenemos derecho.

Como ejemplo, para contratar una línea de teléfono, con una llamada y mandar los datos por correo postal o por fax al cabo de unos días, es suficiente. Para aumentar los servicios contratados, casi no nos preguntan nada más que nuestro DNI. Pero para poner una queja por facturación errónea, nos solicitan el DNI, el número de contrato, incluso el consumo de las dos últimas facturas… Si lo que queremos es dar una baja de servicios, nos podemos armar de paciencia y preparar documentación… La excusa es: “No podemos por la protección de datos”.

Pero lo más absurdo, es que organismos oficiales, como ayuntamientos, policía, etc. utilicen esta misma excusa para no cumplir con sus obligaciones, conculcando los derechos de los ciudadanos y obligándonos en pleno Siglo XXI y con la instalación de la administración electrónica muy avanzada, que tengamos que ir en persona, con esta misma escusa.

miércoles, 17 de febrero de 2010

La Normativa Laboral y la Protección de Datos

La normativa laboral y la de Protección de Datos, entran en conflicto en numerosas ocasiones, pero hoy queremos hablar de lo relacionado con la Prevención de Riesgos Laborales y los Datos Personales.

Los trabajos de vigilancia periódica de la salud, que suelen realizar estas empresas, son datos personales, especialmente protegidos, aunque bien es cierto que la empresa ha de conocer si sus trabajadores son aptos o no aptos para el puesto de trabajo que realizan.

Por lo tanto, la empresa ha de recibir un informe de la empresa de prevención, con los certificados médicos realizados y sus resultados de aptitud, nada más.

El resto de información, se ha de remitir directamente al interesado para su conocimiento.

Algunas empresas, no realizan correctamente este tipo de procedimientos, pues entregan al empresario toda la documentación, para que ellos la repartan a los trabajadores. Incluso, una de ellas ha solicitado información para poder depositar en los servidores de la empresa, toda la información, lo cual les ha sido denegado.

Recordar, que la Ley de Prevención de Riesgos Laborales, prohíbe la transmisión de la información médica obtenida a cualquier tercero, distinto del “personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores”, incluido al profesional médico de la empresa en que los trabajadores prestan su actividad, si este no ha realizado las actividades de vigilancia de la salud.

Por lo tanto, el médico o la empresa de prevención que realiza los trabajos, es el encargado de custodiar la documentación, facilitando a la empresa el apto/no apto del trabajador y al trabajador los resultados de los trabajos.

miércoles, 20 de enero de 2010

28 Enero Día de la Protección de Datos

La Agencia Española de Protección de Datos (AEPD) y el Consejo de Europa, vienen organizando desde el año 2006, el Día de la Protección de Datos.

Para conmemorar este día, la Agencia Española de Protección de Datos ha realizado un apartado específico en su página web, con videos e información, que podéis encontrar aquí:

http://www.agpd.es/portalweb/dia_proteccion-datos_2010-ides-idphp.php

Así mismo, el Consejo de Europa, también ha realizado un apartado específico para la celebración, con información de interés y actividades de todas las agencias participantes, que podéis encontrar aquí (en ingles):

http://www.coe.int/t/e/legal_affairs/legal_co-operation/data_protection/Default_DP_Day_en.asp#TopOfPage

Desde aquí, queremos unirnos a la conmemoración, recordando la importancia de proteger los datos personales, que están presentes en gran número de facetas diarias de nuestra vida, lo que da lugar a abusos y perjuicios, que entre todos debemos de evitar, dando a conocer y utilizando la normativa de Protección de Datos.

lunes, 11 de enero de 2010

La Ley Ómnibus y los sistemas de videovigilancia

La Agencia Española de Protección de Datos (AEPD), ha emitido una Nota Informativa, sobre la nueva Ley 25/2009 ó Ley Ómnibus, y su implicación en los sistemas de videovigilancia.

Con la nueva ley, que ha entrado en vigor el 27 de diciembre de 2009, se modifica la obligatoriedad de realizar la instalación de cámaras de videovigilancia por parte de las Empresas de Seguridad, al haber reformado la Ley de Seguridad Privada, liberalizando la instalación, venta, entrega o mantenimiento de de estos sistemas. Así mismo, tampoco será obligatorio notificar el contrato al Ministerio del Interior.

En todo caso, siguen vigentes el resto de obligaciones, en relación con los ficheros y las cámaras de videovigilancia, recogidas en la Instrucción 1/2006 de la Agencia Española de Protección de Datos, que entre otras son:

- Que las imágenes sean las necesarias y no excesivas para la finalidad perseguida.
- Informar mediante carteles e impresos a los interesados.
- Notificar la existencia del fichero al Registro de la AEPD.
- Implantar las medidas de seguridad necesarias.

Esto legaliza las instalaciones realizadas por no empresas de seguridad, pero sigue obligando a cumplir con el resto de obligaciones marcadas en la normativa de Protección de Datos.