Buscar en este blog

sábado, 17 de diciembre de 2011

Conservación de Datos con fines históricos

La Agencia Española de Protección de Datos (AEPD), ha dictado en la resolución del expediente CD/00001/2011, autorización para la conservación de datos personales con fines históricos, concedida a la Confederación Sindical de la Unión General de Trabajadores de España, para el mantenimiento de sus datos de afiliados y representantes sindicales de los ficheros de su organización.

Es la primera concesión en este sentido, al amparo del artículo 4 de la LOPD y del artículo 9.2 de su Reglamento. Teniendo en cuenta que la UGT fue fundada en 1888 y forma parte de la historia de España.

Dicha solicitud está amparada en el artículo 49 de la Ley de Patrimonio Histórico Español (Ley 16-1985): “forman igualmente parte del patrimonio documental los documentos con una antigüedad superior a los cuarenta años generados, conservados o reunidos en el ejercicio de sus actividades por las entidades y asociaciones de carácter político, sindical o religioso y por las entidades, fundaciones y asociaciones culturales y educativas de carácter privado”

Tenemos que destacar, que las personas con acceso a estos ficheros, solo pueden hacerlo para su conservación, y no podrán ser utilizados para ningún otro fin. Estando especialmente informados de ello y existiendo un registro de acceso a los mismos. También han implementado una copia diaria de seguridad que permita garantizar la integridad de los mismos, además de los normales protocolos y procedimientos de protección de datos, como la existencia de un documento de seguridad.

Así mismo, han de modificar la inscripción en el Registro de la Agencia Española de Protección de Datos, para adecuarlo a la nueva finalidad histórica.

www.bono-che.es

viernes, 9 de diciembre de 2011

Apercibimiento a Associació Projecte Referèndum D’Independència

La Agencia Española de Protección de Datos (AEPD) según resolución R/01180/2011, ha apercibido a la a Associació Projecte Referèndum D’Independència (Asociación Proyecto Referéndum de Independencia), por una denuncia presentada por el Presidente de la Asociación Impulso Ciudadano.

La infracción, tipificada como leve, es por no cumplir el artículo 26 de la Ley Orgánica de Protección de Datos (LOPD), es decir, por no proceder a la notificación a la AEPD de los ficheros de datos de carácter personal, previamente.

Estos hechos están relacionados con la celebración de consultas populares en algunos municipios de Cataluña, sobre la independencia y están organizadas por la “Coordinadora per la consulta sobre la independencia” (Coordinadora para la consulta sobre la independencia), que incluía algunas páginas web, donde entre otras cuestiones, aparecía un listado informático de números de DNI de los participantes en la consulta, sin haberse cumplido los requisitos para la formación de tal base de datos, con independencia de que esta haya sido destruida efectivamente tras la consulta.

Con esta resolución, no solo se apercibe por no cumplir con el artículo 26 de la LOPD, sino que se le concede un plazo de un mes, para acreditar que se ha cumplido con lo previsto en este articulo, abriendo expediente de actuaciones previas y advirtiendo que en caso de no acreditarlo, se procederá a acordar la apertura de un procedimiento sancionador.

La recogida de datos masivos para las mas distintas causas, es una cuestión habitual en los últimos tiempos, unas veces para cambiar legislación, otras para mostrar nuestro apoyo a un acontecimiento o contra un acontecimiento, etc. pero lo organizadores de estas recogidas de datos han de cumplir con la LOPD y las personas que dejan sus datos personales, deberían ser informadas de cómo y a quien ejercer sus derechos, negándose a aportar datos personales, en el caso de no hacerse así. Y no solo por internet, sino en los innumerables documentos que nos ofrecen a firmar (dejando nuestros datos personales) en simples fotocopias de papeles en medio de la calle.

www.bono-che.es

viernes, 25 de noviembre de 2011

Sentencia del Tribunal de Justicia de la Unión Europea sobre la Ley el Reglamento de la LOPD

El Tribunal de Justicia la Unión Europea (TUE), con sede en Luxemburgo, responde al Tribunal Supremo sobre dos cuestiones prejudiciales, con objeto de esclarecer si es correcta la transposición del articulo 7.f de la Directiva Europea de Privacidad y Protección de Datos, tanto en la Ley Orgánica de Protección de Datos, como en su Reglamento de desarrollo.

El artículo 7 de la Directiva establece seis supuestos en los que se considera lícito el tratamiento de datos personales sin necesidad de que concurran más requisitos, siendo el primero el consentimiento inequívoco del interesado y el último “la satisfacción del interés legitimo perseguido por el responsable del tratamiento”.

Este último, no fue tenido en cuenta al realizar la transposición de la Directiva, como un supuesto legítimo en la ordenación española, lo que ha supuesto numerosos problemas para los ficheros de morosos.

En muchos casos al no ser incluida una clausula específica en muchos de los contratos realizados en España, lo que impedía de hecho que muchas deudas pudieran ser cedidas a estos ficheros de morosos o complicaba en demasía, la creación de un fichero para determinados productos o servicios. Lo que genera casos en los que algunas empresas han sido sancionadas por incluir deudas en ficheros de morosidad o intentar cobrar las mismas, a denuncia del propio moroso.

Gracias al impulso judicial de la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y a la Federación de Comercio Electrónico y Marketing Directo (FECEMD), el TUE ha dictaminado, que la Agencia Española de Protección de Datos (AEPD) no podrá sancionar cuestiones relativas al consentimiento y tiene un efecto directo, a falta de la nueva reglamentación que modificará la actual.

El TUE estima que la regulación española se ha extralimitado al restringir la legitimación en el tratamiento de estos datos personales y afirma que no puede imponer exigencias adicionales a las establecidas en la Directiva, ya que esta establecía una armonización completa y no de mínimos, como erróneamente interpreto el legislador español.

En muchos casos, por la propia configuración legislativa de la Unión Europea, no hay una armonización completa, pero la protección de datos y la privacidad, es una de las que si tienen claramente marcadas las líneas y que el legislador español, no siempre hace la trasposición de forma coherente con las Directivas, lo que da lugar a situaciones peculiares, donde se sanciona por conductas que en otros países europeos no son sancionadas y viceversa.

www.bono-che.es

miércoles, 9 de noviembre de 2011

Ciberforensis para evitar el robo de información confidencial

La “Ciberforensis” es la metodología para obtener y aportar información y pruebas sobre conductas, hechos privados y delitos perseguidos, a instancia de parte, ocurridos en medios informáticos y digitales, mediante la utilización de herramientas informáticas de análisis forense.

Según información publicada en www.diariojuridico.com, con datos procedentes de Zenit Detectives, el número de investigaciones por robo de información confidencial en las empresas se ha incrementado un 30%.

La utilización de nuevos dispositivos, como los portátiles, smartphones y tablets, está generalizada en la mayoría de las empresas, sin haber actualizado o disponer de sistemas eficientes y seguros que garanticen la seguridad de los datos personales o de la información confidencial de las mismas.

La aplicación de medidas de seguridad correctas, y de los protocolos de seguridad, debería ser una prioridad en las empresas, para evitar el robo de esta información, que perjudica económica y reputacionalmente. Siendo necesario un gasto mayor en ciberforensis para poder demostrar el robo de la información, del que se podría haber aplicado en dificultar el mismo con medias preventivas y de control.

La formación de los trabajadores parece un factor fundamental, para evitar conductas de este tipo, así como la aplicación rigurosa (no aparente como sucede en muchas ocasiones) de los protocolos de seguridad. Para ello, es necesario contar con versiones del sistema operativo, que permita mejorar la seguridad y control de acceso de los usuarios, mediante las versiones profesionales.

En cualquier caso, no hay seguridad completa y en algunos casos, será necesario recurrir a la ciberforensis, para evitar que nuestra información confidencial y los datos personales que tratamos, terminen perjudicándonos o posibilitando la aportación de las pruebas necesarias para que la justicia pueda condenar al ladrón.

www.bono-che.es

viernes, 4 de noviembre de 2011

Guía INTECO de Cloud Computing en las Empresas

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado una interesante guía sobre el uso de Cloud Computing en las Empresas (Computación en la Nube).

Este organismo es uno de los más activos en materia de TIC y dispone de numerosas guías, programas de ayuda, etc. principalmente para la seguridad e integridad de la información.

Esta guía, hace un repaso a la famosa Nube, y las peculiaridades y riesgos que supone este tipo de tecnologías, para garantizar la información de las empresas. Según su observatorio, en los próximos años, será de un gran crecimiento, principalmente por el uso en la Administracion Publica, lo que tirara del consumo en empresas, principalmente PYME, mayoritarias en España.

No debemos de olvidar que garantizar la seguridad de la información que nuestra empresa u organización ponga en la Nube, es esencial. Y no todas las empresas que ofrecen estos servicios pueden garantizar esa seguridad, principalmente las gratuitas.

Ya existen gran número de empresas que permiten contratar una Nube específica para nosotros, del mismo modo que contratamos un Hosting (alojamiento web), con una mayor seguridad, tanto en el control de acceso a nuestros datos, como en redundancia y copias de seguridad de los mismos.

Migrar a este tipo de tecnología, se ha de realizar con cuidado, pues el paso inverso es complicado en muchos casos, siendo especialmente importante la seguridad que nuestro proveedor pueda ofrecernos en el contrato, para migrar procesos críticos.

Puede descargarse la guía

www.bono-che.es

viernes, 21 de octubre de 2011

Derechos de los Padres separados y Protección de Datos

La Agencia Española de Protección de Datos (AEPD), ha instruido un procedimiento de tutela de derechos, por no haber sido atendidos los derechos ARCO (acceso, rectificación, Cancelación y Oposición), en concreto el derecho de Acceso, de un padre separado, en relación con los datos de su hijo menor, por parte de la Escuela Infantil donde estudia su hijo.

Es importante destacar, que en sentencia judicial, se atribuye la guarda y custodia del menor a la madre, siendo la patria potestad compartida por ambos progenitores.

La Resolución de la AEPD, establece que han de facilitar los datos, sin que se puedan facilitar los datos de la madre o terceras personas.

Se hace referencia a los artículos 154 y 156 del Código Civil:
“Artículo 154.
Los hijos no emancipados están bajo la potestad de los padres.
La patria potestad se ejercerá siempre en beneficio de los hijos, de acuerdo con su personalidad, y con respeto a su integridad física y psicológica.
Esta potestad comprende los siguientes deberes y facultades:
1. Velar por ellos, tenerlos en su compañía, alimentarlos, educarlos y procurarles una formación integral.
2. Representarlos y administrar sus bienes.
Si los hijos tuvieren suficiente juicio deberán ser oídos siempre antes de adoptar decisiones que les afecten.
Los padres podrán, en el ejercicio de su potestad, recabar el auxilio de la autoridad.”

“Artículo 156.
La patria potestad se ejercerá conjuntamente por ambos progenitores o por uno solo con el consentimiento expreso o tácito del otro. Serán válidos los actos que realice uno de ellos conforme al uso social y a las circunstancias, o en situaciones de urgente necesidad.
En caso de desacuerdo, cualquiera de los dos podrán acudir al Juez quien, después de oír a ambos y al hijo si tuviera suficiente juicio y, en todo caso, si fuera mayor de doce años, atribuirá sin ulterior recurso la facultad de decidir al padre o a la madre. Si los desacuerdos fueran reiterados o concurriera cualquier otra causa que entorpezca gravemente el ejercicio de la patria potestad, podrá atribuirla total o parcialmente a uno de los padres o distribuir entre ellos sus funciones. Esta medida tendrá vigencia durante el plazo que se fije, que no podrá nunca exceder de dos años. …”

Por lo tanto, la Escuela Infantil, ha de proporcionar los datos solicitados por el padre, en concreto:

Fotocopia de la matricula, con fecha de alta e información detallada del centro, condiciones educativas, alimentarias y sanitarias del centro, horarios, información de tutores o responsables, y documentación acreditativa del importe mensual que se abona.

Informes y comunicados que se hayan elaborado y puestos a disposición de la madre, o que el padre necesite saber en cuanto a cualquier curso, actividad escolar o extraescolar. Detalle de las ausencias por causa justificada o injustificada.

Además de cualquier comunicación que el centro efectúe a la madre.

www.bono-che.es

lunes, 17 de octubre de 2011

Apercibimiento a un Administrador de Fincas por datos bancarios en Despacho Virtual

La Agencia Española de Protección de Datos (AEPD) ha realizado un apercibimiento a un Administrador de Fincas de Málaga, por permitir el acceso a los datos bancarios de algunos comuneros de una Comunidad de Propietarios en Torremolinos, desde el Despacho Virtual.

En muchos despachos de Abogados, Gestores, Administradores de Fincas, etc. es común la utilización de una Oficina o Despacho Virtual, donde los usuarios (clientes) tienen acceso a información relacionada con sus expedientes. En este caso, los comuneros tienen acceso a los datos de la Comunidad de Propietarios, como pueden ser las actas, presupuestos, etc.

Por un “error” el administrador había incluido entre esa documentación, los recibos del agua, donde figuran los datos de las cuentas bancarias, es decir, a la vista de todos los usuarios de esa comunidad, estaba disponible la cuenta bancaria de los demás.

Al no haber sido sancionado o apercibidos anteriormente, solo se trata de un apercibimiento sin sanción económica, para la Administracion de Fincas.

Pero este caso, nos debería hacer reflexionar sobre la seguridad de estos sistemas, que en este caso, solo era la cuenta bancaria, pero que en otros casos, podría tratarse de documentos como un informe médico, peritajes o tasaciones, etc. Por lo tanto, la utilización de una Oficina Virtual, debe estar restringida a la información básica mínima, para evitar que datos especialmente protegidos puedan estar expuestos a la vista de otros no autorizados. Este problema puede ser mayor, si utilizamos almacenamiento “en la nube”, generalmente gratuito, y del que no podemos configurar en muchos casos las suficientes medidas de seguridad y privacidad.

miércoles, 28 de septiembre de 2011

Servicio de Prevención del Fraude (SEPFRA) – Fichero DER

El servicio de Documentos Extraviados y Robados (DER), es una de las medidas de prevención del fraude que ha puesto en marcha el Centro de Cooperación Interbancaria.

Este fichero de auto-inclusión, contiene registros de personas físicas o jurídicas, con campos como la identidad del solicitante, el motivo de la inclusión (robo, extravío del DNI, etc.) y de la denuncia si existiera. Siendo necesario aportar una copia del documento identificativo perdido, robado o duplicado.

Si los datos, corresponden a menores de edad, la inclusión ha de ser realizada por el representante legal, al igual que en el caso de las personas jurídicas.

Las entidades financieras adheridas a este proyecto tendrán el documento sometido a vigilancia, mientras no se solicite la baja del fichero, lo que significa un mecanismo de seguridad y prevención temprana del fraude.

Por supuesto, usted tiene derecho a ejercitar sus derechos de acceso, rectificación, cancelación y oposición, en cualquier momento.

Aunque no todas las entidades financieras están adheridas a este servicio, si creemos que con el tiempo lo estarán todas, lo que solucionara muchos de los problemas de suplantación de personalidad que se producen en estos momentos, como pueden ser la apertura de cuentas corrientes por internet, que luego son utilizadas para operaciones de blanqueo de capitales, por ejemplo.

Pueden encontrar toda la información en www.spfra.es

jueves, 8 de septiembre de 2011

“Me gusta” de Facebook ilegal en Alemania

Según información publicada en la Revista de la Agencia de Protección de Datos de la Comunidad de Madrid de Septiembre de 2011 (con fuente de El Mundo 22/08/2011), el distrito de Schleswig-Holstein (Alemania) ha prohibido este popular “plug-in” de Facebook.

Las autoridades alemanas, indican que esta herramienta viola las leyes de privacidad alemana y de la Unión Europea, al permitir que los usuarios expongan su perfil y hábitos, expresando su aprecio por algo en línea, y de esta forma permitiendo que sus movimientos sean rastreados. “Quien visita Facebook o utiliza un “plug-in” social, podrá ser seguido por la empresa durante dos años”

Según Facebook, que niega toda acusación, rechaza firmemente cualquier afirmación de no ser compatible con las normas comunitarias de protección de datos y que la gente tiene el control total sobre como su información es compartida a través de él.

Esta prohibición está basada en un estudio de una comisión, que tras un análisis exhaustivo de la red social, afirma que viola la Ley de Telemedia Alemana y su Ley Federal de Protección de Datos, pues los datos son transferidos a Estados Unidos y los análisis web se envían a los propietarios de portales online (venta a los anunciantes).

Esta nueva sentencia, que ha de cumplirse antes del próximo 30 de septiembre, es una más contra las grandes compañías de internet, que parecen seguir sin tener en cuenta la privacidad de sus usuarios, primando el aumento de ingresos, con la venta de publicidad, cada vez mas segmentada y dirigida, gracias a las técnicas de “Pago por privacidad” que utilizan.

martes, 30 de agosto de 2011

Articulo 45, apartado 6 de la Ley 15/199

Con la llamada ley de Economía Sostenible (Ley 2/2011), en su disposición final quincuagésima, se ha introducido un nuevo apartado 6 al artículo 45 de la Ley 15/1999 de Protección de Datos:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado precederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.”

La Agencia Española de Protección de Datos (AEPD) ya está teniendo en cuenta este nuevo apartado de la legislación y está realizando apercibimientos en los supuestos que la ley permite.

Es importante destacar la necesidad de atender estos requerimientos para evitar la apertura de expedientes, que pueden dar lugar a importantes sanciones, también elevadas con esta Ley de Economía Sostenible.

sábado, 9 de julio de 2011

Sanción por una fotografía de un menor

La Agencia Española de Protección de Datos (AEPD) a sancionado con 601,01 € al responsable de una escuela de música en Lugo, por una infracción del artículo 6.1 de la Ley Orgánica de Protección de Datos (LOPD), referente al “principio de consentimiento”.

Los responsables de la escuela de música, no realizaban un consentimiento escrito para la utilización de las fotografías e imágenes de los alumnos (en este caso menor de edad), alegando que en una ciudad pequeña, con el consentimiento verbal es suficiente, pues todos se conocen.

Estas imágenes, procedentes de diferentes actos y conciertos, eran luego utilizadas por la escuela de música en su publicidad, lo que llevo a los padres a presentar el correspondiente procedimiento en la AEPD.

Recordamos, la obligación de documentar el consentimiento, por escrito y en el caso de los menores, la obligación de realizarlo por los dos padres o tutor legal. Pues en algunos casos de separaciones, por ejemplo, se están produciendo problemas con las autorizaciones firmadas solo por uno de los progenitores.

Esta sanción ha sido atenuada, en consonancia con el principio de proporcionalidad, pero constituye una sanción tipificada como grave, que podría haber supuesto una sanción económica muy importante, que seguro hubiera puesto en peligro la continuidad de la academia de música.

jueves, 23 de junio de 2011

Resolución contra la Dirección General de Instituciones Penitenciarias

Un ciudadano ha solicitado a Instituciones Penitenciarias, la cancelación de sus datos personales, de los archivos que constaban en el denominado “SIP-INTERNOS”, que según acuerdo de la Comisión de Clasificación de Documentos del Ministerio del Interior, tiene valor histórico, estadístico y fue calificado “de conservación permanente”, tanto de este fichero, como los expedientes personales de los internos en centros penitenciarios.

La Agencia Española de Protección de Datos (AEPD), ha determinado en su resolución nº R/00068/2011, que no se puede alegar el “supuesto valor histórico o estadístico” y mucho menos las “necesidades de gestión” propias de la Administracion Penitenciaria, ya que el mantenimiento integro de datos con dichos fines tiene un carácter excepcional regulado por exigencia del artículo 4.5 de la LOPD.

Además, el artículo 136 del Código Penal, establece el derecho de los condenados a obtener del Ministerio de Justicia la cancelación de sus antecedentes penales, una vez cumplidos determinados requisitos y plazos.

Por lo tanto, se ha estimado la tutela de derechos solicitada por el ciudadano, e Instituciones Penitenciarias, deberá cancelar sus datos personales y se emita certificación de la misma, en el plazo de diez días.

viernes, 3 de junio de 2011

Memoria de la AEPD del año 2010

La Agencia Española de Protección de Datos (AEPD), ha presentado su memoria anual, correspondiente al año 2010, así como una nota de prensa, con los datos más destacados.

Nos gustaría destacar los siguientes datos:

- 4.302 investigaciones (por denuncia y de oficio) con un incremento del 4 %, con 1.170 por telecomunicaciones, 819 por videovigilancia, 691 financieras, 168 Internet y 126 por spam (LSSI)
- 900 actuaciones previas de investigación relacionadas con morosidad, como cesión de datos a empresas para el recobro de deudas, vulneración del deber de secreto al intentar cobrar la deuda, divulgando la supuesta cuantía a familiares y allegados para forzar el cobro, o la utilización de datos para la contratación fraudulenta de servicios.
- 168 actuaciones en el ámbito de Internet, por insuficiente implantación de medidas de seguridad, difusión no autorizada de datos y suplantación de identidad. Los principales problemas se encuentran en las Redes Sociales, como la difusión de datos en foros o blogs, portales de video, portales de contacto personal, servicios de correo electrónico (listas de correo), servicios de localización de información personal, directorios y buscadores personales, etc.
- 114 actuaciones en el ámbito sanitario, principalmente por vulneración del deber de secreto o insuficiente implantación de medidas de seguridad.
- 101.826 consultas en el servicio de Atencion al Ciudadano, con un incremento del 8,2 %.
- Un total de 17.400.000,00 € en sanciones, de las que 621.000 € corresponden a comunicaciones electrónicas comerciales (LSSI) y 507.000 € a videovigilancia.

Con estos datos, podemos sacar muchas conclusiones, pero para nosotros, tiene especial importancia el incremento de las consultas al servicio de Atencion al Ciudadano, lo que indica un mayor conocimiento de los derechos y de su aplicación.

También es interesante el importe y el número de sanciones por incumplimiento en relación a la Ley de Servicios de la Sociedad de la Información (LSSI), así como la videovigilancia, que cada día esta más presente y genera mayor rechazo en la población.

Pero quizás el más llamativo, sea el resultado de dividir el numero de sanciones 591 por el importe total de las mismas (17,4 millones de euros), que nos daría un resultado de 29.441,62 € de sanción media. Está claro que estamos mezclando sanciones graves, con leves y por lo tanto no todos los sancionados han tenido que pagar estas fuertes multas, pero la media nos puede servir como estimación para calcular la importancia en invertir en una buena aplicación de la LOPD y la LSSI, en relación al coste de los profesionales que nos ayudan con la misma.

miércoles, 25 de mayo de 2011

Problemas de móviles con Android 2.3.3

Nuevamente, saltan problemas de seguridad, detectados en móviles con sistema Android 2.3.3, que se conectan a redes Wifi no seguras.

Parece que nos estamos encontrando con un avance importante en cuanto a todo tipo de software, tanto para ordenadores, como para equipos en movilidad (portátiles o teléfonos móviles). Pero las empresas no ponen el mismo interés en verificar la seguridad de su software, que en realizar lanzamientos novedosos o mejoras.

Durante muchos años, se ha venido culpando a Microsoft de los problemas de seguridad de sus diferentes versiones de Windows, pero parece que no son de tanta importancia en los nuevos dispositivos o software que salen al mercado, sin que se les acuse o pida explicaciones, como se venía haciendo con el mayor proveedor de sistemas operativos del mundo, a estas empresas que cometen los mismos errores.

Las empresas deberían aprender de los errores cometidos por otros (como Microsoft), tal y como ha hecho ella misma, y de las consecuencias que pueden suponer estos fallos de seguridad. Que podrían llegar a costarles su negocio, incluso mediante la utilización de las herramientas que ellos mismos facilitan y/o aceleradas por la utilización de su propia tecnología (Redes sociales, móviles, red 2.0), lo que supondría un gran paradoja.

Las directivas europeas en materia de seguridad de datos personales y de privacidad, hacen hincapié en el diseño desde la seguridad, como base para cualquier tipo de sistema, software, web, etc. Por lo tanto, este tipo de actitudes pueden suponer una sanción en materia de protección de datos, como ya está estudiando la Agencia Española de Protección de Datos en algunos casos.

miércoles, 18 de mayo de 2011

Problemas de Seguridad (Sony – Facebook)

Recientemente han saltado a la prensa diferentes problemas de seguridad, tanto de Facebook, como de Sony con su PlayStation Netwoork, lo que supone el robo de datos personales de millones de personas. La Agencia Española de Protección de Datos (AEPD) ya tiene abiertos expedientes para estudiar estos asuntos.

Estos problemas, vienen a reforzar la idea de prohibir ciertos programas en los sistemas de información de las empresas, para evitar sufrir estos robos de datos personales, que pueden llegar a suponer un gran problema, no solo de imagen de la empresa, con la consiguiente pérdida de valor de la marca, sino también, problemas con la AEPD, por no haber tomado las medidas técnicas y organizativas necesarias para garantizar la integridad y buen uso de los datos personales.

Es frecuente, que en muchas organizaciones, se sea comprensivo con el uso personal de los equipos de la empresa, sin ser conscientes del problema que puede generar. Parece necesario estar en Facebook o utilizar herramientas 2.0 para dar imagen de dinamismo y que esta sea un canal más de venta o de marketing, pero en pocas ocasiones se tiene en cuenta la protección de datos y la Ley de Servicios de la Sociedad de la Información (LSSI).

Que utilicemos una red social, que esta acogida a legislación de terceros países, normalmente americanos o paraísos fiscales, y que por lo tanto, no cumplan con la normativa LOPD no siempre será posible, si no cumplimos con la normativa española. Podemos llegar a ser sancionado por ello, pues ninguna empresa u organización obligada a cumplir con esta legislación puede saltarse la normativa, por mucho que “todo el mundo tenga Facebook”.

La utilización de juegos on-line, similar a los que han generado problemas a Sony, es una gran fuente de problemas en las organizaciones, sobre todo por la poca seguridad que ha de implementar el sistema, para poder ser “jugable”, dejando gran número de puertos abiertos y disminuyendo o anulando el software antivirus y/o cortafuegos.

Cumplir con la normativa en materia de LOPD-LSSI marcadas por la empresa es una obligación de los trabajadores, que han de conocer y aplicar. Estando marcadas en el documento de seguridad de la empresa. No hacerlo, puede suponer la apertura de un expediente sancionador, según la normativa laboral.

lunes, 25 de abril de 2011

Venta del Censo Electoral

En un reciente artículo del periódico “El País”, de 5 de abril de 2011, se hace referencia a una supuesta venta de los datos del censo electoral, por parte de un empresario alicantino, utilizando la página www.saberlotodo.com y que por los problemas judiciales que ha tenido, han pasado a ser operadas desde la página www.trumbic.com con sede en Suiza.

Visitando la primera web, simplemente conseguimos que nos indiquen que ahora se opera desde la segunda web indicada… Esta segunda, corresponde a una empresa con apariencia completamente legal y en la que no encontramos referencias a este servicio. Si que encontramos una admisión a trámite de una denuncia contra el director de la Agencia Española de Protección de Datos (AEPD), D. Artemi Rallo y otra persona, por un delito de prevaricación.

Si las informaciones facilitadas por el periódico El País, son ciertas, desde estas web se estaría vendiendo los datos personales del censo electoral, para poder localizar morosos y proceder a intentar el cobro de las deudas. La AEPD tiene bloqueado el fichero y parece que el cambio a Suiza es para seguir utilizando el mismo…

La utilización del censo electoral, ha sido una actividad recurrente durante el tiempo, de muchas empresas, especialmente antes de la entrada en vigor de la Ley Orgánica de Protección de Datos, que aunque tiene un precedente en la LORTAD, el grado de concienciación y de sanciones en el manejo de los datos personales no ha sido una costumbre en este país hasta hace unos años. Durante años, se crearon pequeñas agrupaciones o partidos políticos, para tener acceso al censo electoral, pues en las elecciones no conseguían más de un centenar de votos…

Conocemos al Director de la AEPD, D. Artemi Rallo, pues siempre ha tenido un trato muy cercano, tanto en las Sesiones Abiertas anuales de la Agencia, como en los cursos a los que hemos asistido. En nuestra opinión, no solo es un gran profesional y un buen director de la AEPD, también creemos que es la persona que más ha hecho por los derechos de los ciudadanos en la materia y que sus actuaciones están encaminadas siempre a la protección de los datos personales. Puede haberse equivocado, como cualquiera, pero la prevaricación es un delito muy serio para un funcionario público y que este admitida una demanda no significa que sea un prevaricador, cuestión esta que tendrá que dilucidar la justicia.

Cuando según El País, la empresa ha vendido estos datos personales y ha sido bloqueado el fichero e impuesto una importantísima sanción, es después de realizar numerosas actuaciones en el proceso de inspección y soportado por pruebas.

viernes, 8 de abril de 2011

Directiva 2009/136/CE del Parlamento Europeo y del Consejo

La Directiva 2009/136 CE, de 25 de noviembre de 2009, modifica la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamente (CE) 2066/2004 sobre cooperación en materia de protección de los consumidores.

El próximo día 25 de Mayo de 2011, termina el plazo para que los Estados Miembros adopten y publiquen las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la Directiva.

Según han publicados diferentes medios de comunicación, esta transposición, se realizara mediante la modificación de la Ley 32/2003 General de Telecomunicaciones. Que no puede tardar en producirse.

A la espera de ver como se transpone la Directiva a la legislación española, nos parece importante indicar, que la citada directiva, prohíbe la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que no contengan una dirección valida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones o en los que se aliente a los destinatarios a visitar páginas web que contravengan el artículo 6 de la Directiva 200/31/CE (Identificación clara del propietario de la web).

Así mismo, los Estados miembros velaran, en el marco del Derecho Comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legítimos de los abogados que no sean personas física en o que se refiere a las comunicaciones no solicitadas.

Tanto la Ley Orgánica de Protección de Datos (LOPD), como la Ley de Servicios de la Sociedad de la Información (LSSI), ya cumplen con la mayoría de disposiciones de la directiva, siendo el derecho español en la materia, uno de los más restrictivos y garantistas de Europa. Quizás sea esta, una de las causas del elevado incumplimiento.

lunes, 7 de marzo de 2011

Ley de Economía Sostenible y Ley Orgánica de Protección de Datos Personales

La Ley 2/2011, de 4 de marzo de Economía Sostenible, es un batiburrillo de modificaciones y disposiciones transitorias y finales, que afectan a gran número de leyes de nuestro ordenamiento jurídico y que ya está en vigor.

Entre ellas, se hacen modificaciones a la Ley 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), modificando el articulo 43,44,45 (añade apartado), 46 y 49. Es decir, todo lo referente a Infracciones y sanciones. Según la Disposición Final quincuagésima sexta.

También se han modificado la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), el Real Decreto legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de propiedad Intelectual, la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, para la protección de la propiedad intelectual en el ámbito de la sociedad de la información y de comercio electrónico. Según Disposición Final cuadragésima tercera.

La modificación más importante referente a la Ley 15/1999 (LOPD), es la tipificación de las sanciones y sobre todo la graduación de la multa:

-Infracción Leve de 900 a 40.000 Euros
-Infracción Grave de 40.001 a 300.000 Euros
-Infracción Muy Grave de 300.001 a 600.000 Euros

Sin duda las sanciones leves han incrementado el importe de la sanción y son consideradas tales, entre otras, la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos (cuestión que se da en la mayoría de lo tratamientos con terceros, como gestores, administradores de fincas, abogados, envíos publicitarios, etc.) O el incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.

En cuanto a las graves, está tipificada como tal, la vulneración del deber de guardar secreto, el incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado, el impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición, o no atender los requerimiento o apercibimientos de la Agencia Española de Protección de Datos o proporcionar a aquella cuantos documentos e informaciones sean solicitados por la misma.

Son sanciones muy graves, entre otras, la recogida de datos de forma engañosa o fraudulenta o la transferencia internacional de datos con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos.

viernes, 4 de marzo de 2011

Seguridad Web

El ayuntamiento de Catarroja (Valencia), ha sido declarado culpable de infringir lo dispuesto en el artículo 9 de la LOPD, sobre seguridad de los datos, tipificada como grave, si bien ya ha corregido los problemas y al ser un organismo público no tiene sanción económica.

Desde una página web, se proporciona acceso a los servicios CAVI, para lo que es necesario acceder con certificado digital.

Un error en la programación web, permitía modificar la URL y acceder a los datos personales de otros usuarios, como los datos de su vehículo, domicilio, DNI, nombre y apellidos y número de cuenta bancaria.

La utilización de páginas web, ha de ser segura, garantizando la seguridad de los datos personales, por lo tanto los responsables de programación de las mismas, han de implementar protocolos seguros y una planificación especifica que garantice desde el inicio la seguridad de los datos, el control de accesos y todas las medidas marcadas en la Ley Orgánica de Protección de Datos (LOPD) y en la Ley de Servicios de la Sociedad de la Información (LSSI).

Un coste de implantación web económico, puede llegar a salir muy caro. Y muchos supuestos profesionales, no dejan de ser aficionados a la programación, que utilizan editores web estándar de terceros en muchos casos, sin los conocimientos y profesionalidad que precisa el tratamiento de datos personales.

Además, los profesionales de la protección de datos, han de trabajar “codo con codo” para cada nuevo proyecto web, para integrarlo con el resto de procedimientos de seguridad de la organización y específicamente para él, sin ser posible estandarizar los protocolos, pues cada empresa, negocio o web son diferentes.

viernes, 18 de febrero de 2011

Sanción de 30.0001,00 € por envío de SMS

La compañía Vodafone España S.A. ha sido sancionada por la Agencia Española de Protección de Datos (AEPD), por una infracción del artículo 21 de la LSSI, tipificada como grave, con una multa de 30.001,00 €.

El cliente de esta compañía, con una tarjeta prepago, había marcado las correspondientes casillas en el contrato, para no recibir información comercial, cuestión que no ha sido respetada por la compañía Vodafone España SA, que aun estando inscrito el cliente en su fichero Robinson (para no recibir información comercial), alegaba que no se ofrecían información comercial, sino posibles ventajas para los usuarios de tarjeta prepago, como la del interesado…

Comunicación comercial es, toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

Además, los artículos 21 y 22.1 de la LSSI, establecen la prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes, que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Esto no será de aplicación cuando exista una relación contractual previa, siempre que se obtuvieran los datos de forma licita y los productos o servicios ofertados sean similares a los que fueron contratados por el cliente.

También se ha de ofrecer la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos, como en cada una de las comunicaciones comerciales.

Por lo tanto, hay que tener especial cuidado en la recogida de datos, especialmente con fines de promoción o comunicación comercial y en el envío de las mismas….

jueves, 10 de febrero de 2011

Nueva Guía del Ciudadano de la AEPD

La Agencia Española de Protección de Datos (AEPD), tiene disponible una nueva Guía para Ciudadanos, con información clara sobre los derechos de los ciudadanos relacionados con sus datos personales.

En ella, se explica que es un dato personal, que obligaciones hay cuando me piden datos, como deben tratarse los datos, los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), que hacer si no se respetan mis derechos, que hacer para tratar datos de otras personas y cosas que debemos saber sobre determinados tratamientos:
-Niños
-Internet
-Publicidad
-Información sobre solvencia

Esta guía ayudara a todos los ciudadanos a tener un mayor conocimiento sobre la Ley Orgánica de Protección de Datos Personales (LOPD), pero sobre todo, dado su carácter didáctico y práctico, ofrece información sobre cómo pueden llegar a utilizarse nuestros datos por parte de las empresas…. En muchos casos no somos conscientes de toda la información que facilitamos, sobre todo en las redes sociales, que es utilizada para poder hacer un perfil de nuestra persona.

En nuestra web, puede encontrar esta y las demás guías de la Agencia Española de Protección de Datos (AEPD)

viernes, 28 de enero de 2011

El certificado digital, firma electrónica y DNIe

Los certificados digitales y la firma electrónica, son cada día mas utilizados. Las personas físicas disponemos desde hace unos años del DNIe, que dispone de unos certificados para firmar y autenticarnos de forma segura.

El primer problema que podemos tener, es que nos caduquen los certificados, pues no tienen la misma vigencia que el documento. Si nos ha caducado, solo tenemos que personarnos en las oficinas del DNI y en las maquinas habilitadas podremos renovar el certificado, poniendo nuestra huella dactilar. Estas maquinas, también sirven para disponer de un nuevo PIN si no lo recordamos.

Las Sociedades, tienen que cumplir una nueva normativa, que obliga a disponer de un Certificado Digital, para poder acceder a la Dirección Electrónica habilitada de notificaciones de la Agencia Estatal de la Administracion Tributaria (RD 1363/2010). La Agencia Tributaria ya lo está comunicando a los interesados. Dispondremos de 10 días, para presentar nuestro Certificado Digital, aportando los correspondientes certificados del Registro Mercantil actualizados.

Esto supone la necesidad de contar con el Certificado Digital de la Persona Jurídica, que nosotros recomendamos sea en tarjeta digital y podemos obtener de la Fábrica Nacional de Moneda y Timbre (previamente tendremos que comprar un Kit, que nos ofrecen desde su web a la de los proveedores oficiales). Luego tendremos que validar el certificado en la Agencia Tributaria, según se indica en el párrafo anterior. También podemos optar por empresas especializadas en proporcionar los certificados digitales, en varios formatos y de varios tipos.

Estos certificados y el DNIe, tienen múltiples utilidades, no solo con la Agencia Tributaria, sino también con otros organismos púbicos, como ministerios, autonomías, ayuntamientos, etc.

Pero además, desde la versión Windows XP, es posible autenticarse desde un lector y estos certificados y DNIe, para acceder a nuestro sistema informático, lo que aumenta la seguridad en el uso de los equipos informáticos y por lo tanto, en el control de los Datos Personales de nuestra empresa u organización.

Animamos a todos a utilizar este sistema, aunque requiera de pequeñas inversiones.

miércoles, 26 de enero de 2011

28 de Enero – Día de la Protección de Datos

El próximo viernes 28 de Enero, se celebra por quinto año consecutivo el Día de la Protección de Datos.
Esta celebración, está promovida por el Consejo de Europa y por lo tanto se celebra en toda la Comunidad, y conmemora la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal.

Puedes encontrar información sobre este día en la página específica del Consejo de Europa y en la página de la Agencia Española de Protección de Datos.

Nosotros queremos unirnos a esta celebración y que esto sirva para dar un nuevo impulso que ayude a cumplir con la ley a las organizaciones, que en muchos casos se encuentra todavía al margen de la legalidad, aunque ellos crean que cumplen con un curso para un empleado…