Buscar en este blog

miércoles, 31 de octubre de 2012

Memoria del año 2011 de la AEPD

El pasado 25 de septiembre, la Agencia Española de Protección de Datos (AEPD), de la mano de su Director D. José Luis Rodríguez Álvarez, presento la memoria del año 2011, encontrándose a disposición de los interesados en su web.
Nos gustaría empezar por analizar el importe de sanciones impuestas en este año, que suman 19.597.905,97 €, para un presupuesto de la Agencia de 14.437.970,00 €, con lo que se cubre, sobradamente el presupuesto, gracias a las sanaciones impuestas.
También reseñar el aumento de denuncias presentadas por los ciudadanos, que crecen un 51.6% respecto del año anterior. Así como el número de consultas (134.635) que crece un 28.4%. De las cuales el 50,35% son sobre Cancelación y el 27,85% sobre Oposición. Lo que demuestra el interés de los ciudadanos sobre el uso de sus datos personales y principalmente como cancelar sus datos u oponerse a su tratamiento. En este aspecto, señalar que la lista Robinson de Adigital cuenta con 1.208.974 usuarios inscritos, que no quieren recibir información comercial, lista que hay que verificar previo al envío de cualquier comunicación.
Las provincias con más denuncias, según la provincia del denunciante son Madrid, Barcelona, Valencia, Alicante y A Coruña.
Se hace referencia a numerosas sentencias, resoluciones, problemas presentes e incluso futuros, pero nos gustaría destacar los problemas con las medidas de seguridad, que pueden llegar a terminar en sanciones, como disponer de un código de usuario pero no de una clave, errores en los módulos de identificación y autenticación que permiten acceso sin usuario y clave, utilización de usuarios y claves por defecto, accesos a datos mediante modificación de parámetros de una URL o errores en la configuración de los servidores web. Esto debería hacer reflexionar a los programadores web o de aplicaciones, que en ocasiones no toman en cuenta la seguridad en la medida necesaria, causando prejuicios importantes a sus clientes. Recordar que la normativa europea, habla de la protección de datos desde el diseño y estas empresas deberían contar con especialistas en la materia.
Esta memoria enumera la participación de la Agencia en la numerosa legislación que ha sido tramitada o está en tramitación, siendo numerosas las leyes o reglamentos que hacen ya referencia a la Protección de Datos, marcando incluso obligaciones especificas, como en el caso de la legislación de Prevención del Blanqueo de Capitales y Financiación del Terrorismo.

miércoles, 24 de octubre de 2012

Informe Jurídico de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD), en su informe jurídico 2012-0119, sobre publicación en Internet de datos de los contratistas relativos a deudas de los Ayuntamientos, ha determinado que  la publicación en Internet de los datos contenidos en el denominado por la consultante “fichero de facturas” referidos a quienes no tengan la condición de personas jurídica o se refieran a comerciantes, industriales o navieros el ámbito exclusivo de su actividad empresarial, de forma que la información sea libremente accesible por cualquier persona implica una cesión de datos que no encuentra amparo, sin el consentimiento del interesado, ni en el artículo 11 de la Ley Orgánica 15/1999 ni en el artículo 7 f) de la Directiva 95/46/CE. De este modo, la inclusión de estos datos en Internet únicamente sería posible si el acceso quedase limitado al propio interesado mediante la inclusión previa de varios datos que sólo él pudiera, en principio, conocer.
El informe completo, se puede consultar en la web de la AEPD, pero a modo de resumen, vuelve a establecer la diferencia marcada por la diferente legislación, tanto nacional como europea, en cuanto a las personas jurídicas (a las que no es aplicable la legislación de Protección de Datos en su totalidad) y los datos de los administradores o de los profesionales, que no sean comerciantes, industriales o navieros (según la consideración del Código de Comercio), a quienes si es aplicable esta legislación.

Para evitar sorpresas, siempre es mejor establecer procedimientos de seguridad únicos, sin diferenciar las personas jurídicas, los empresarios o los profesionales, y tratando todos los datos, como si fueran datos personales sujetos a la legislación de Protección de Datos Personales.

martes, 2 de octubre de 2012

Nuevo Contrato de Servicios de Microsoft

Si usted es usuario de servicios de Microsoft, como puede ser Windows Live, habrá recibido un correo donde se le informa de la actualización del contrato de servicios, que puede encontrar en http://windows.microsoft.com/es-ES/windows-live/microsoft-services-agreement
Este es un ejemplo de la política de privacidad utilizada no solo por Microsoft, sino de forma similar por Google, Yahoo y otros servicios de Internet como las redes sociales, a los solemos confirmar la aceptación sin leer sus clausulas.
Sin duda, el punto más llamativo es el siguiente:
"5.3. ¿Microsoft divulga mi información personal fuera de Microsoft? Usted acepta y autoriza expresamente que Microsoft obtenga acceso a la información relativa a su uso de los servicios, la divulgue o la conserve, lo que incluye (sin que sirva de limitación) su información personal y su contenido, así como la información que Microsoft adquiera sobre usted a través de su uso de los servicios (por ejemplo, la dirección IP u otros datos de terceros) cuando Microsoft entienda de buena fe que ello es necesario a fin de: (a) cumplir con la ley aplicable o responder a procesos legales incoados por las autoridades competentes; (b) hacer cumplir este contrato o proteger los derechos o la propiedad de Microsoft o de nuestros clientes; o (c) ayudar a evitar lesiones físicas o el fallecimiento de cualquier persona."
Lo que no queda tan claro, es si Microsoft recopila información personal, pues no dirige a otro link de la Declaración de Privacidad en línea de Microsoft (http://go.microsoft.com/fwlink/p/?LinkId=253457) , pero si dejan claro que "podemos cargar automáticamente la información sobre su equipo, el uso que haga de los servicios y el rendimiento de estos últimos".
Los servicios gratuitos, por lo tanto, no garantizan la seguridad e integridad de nuestros datos personales, con el nivel adecuado de seguridad, para cumplir con la Ley de Protección de Datos (LOPD).