Bono-Che

Datos personales de otros países

2012-01-20T17:53:00.001+01:00

Es muy frecuente que no se considere que los datos personales de personas que no residen en España, no hayan de ser tratados conforme a la normativa española.

Todos los países de la Unión Europea, tienen normativa referente a Privacidad y Protección de Datos Personales, como consecuencia de la transposición de diferentes directivas europeas, del Parlamento Europeo y del Consejo. Que además están complementadas con otra legislación, como la Ley de Servicios de la Sociedad de la Información (LSSI) en el caso de España y directivas del Parlamento Europeo y Consejo como las referentes al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónica, la relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas o el Reglamento CE nº 2006/2004 sobre la cooperación en materia de protección de los consumidores.

Como el tratamiento de estos datos, se realiza en España, estamos obligados a cumplir con la normativa española, aunque los datos a tratar sean de otros países, tanto de la Unión Europea, como de terceros países.

Por lo tanto, cualquier ciudadano, ha de poder ejercitar sus derechos ARCO, ha de ser informado sobre la utilización de sus datos, quien la hace, con qué fines, etc. sea del país que sea. Siendo necesario recabar su consentimiento previo igualmente.

Además, estos datos no pueden ser cedidos a terceros sin su consentimiento y en caso de realizar una cesión de los mismos, por ejemplo para realizar un tratamiento, a países sin el adecuado nivel de protección, es necesario contar con la autorización del Director de la Agencia Española de Protección de Datos.

www.bono-che.es

Feliz Navidad y propero año 2012

2011-12-22T12:03:00.002+01:00

Conservación de Datos con fines históricos

2011-12-17T19:06:00.001+01:00

La Agencia Española de Protección de Datos (AEPD), ha dictado en la resolución del expediente CD/00001/2011, autorización para la conservación de datos personales con fines históricos, concedida a la Confederación Sindical de la Unión General de Trabajadores de España, para el mantenimiento de sus datos de afiliados y representantes sindicales de los ficheros de su organización.

Es la primera concesión en este sentido, al amparo del artículo 4 de la LOPD y del artículo 9.2 de su Reglamento. Teniendo en cuenta que la UGT fue fundada en 1888 y forma parte de la historia de España.

Dicha solicitud está amparada en el artículo 49 de la Ley de Patrimonio Histórico Español (Ley 16-1985): “forman igualmente parte del patrimonio documental los documentos con una antigüedad superior a los cuarenta años generados, conservados o reunidos en el ejercicio de sus actividades por las entidades y asociaciones de carácter político, sindical o religioso y por las entidades, fundaciones y asociaciones culturales y educativas de carácter privado”

Tenemos que destacar, que las personas con acceso a estos ficheros, solo pueden hacerlo para su conservación, y no podrán ser utilizados para ningún otro fin. Estando especialmente informados de ello y existiendo un registro de acceso a los mismos. También han implementado una copia diaria de seguridad que permita garantizar la integridad de los mismos, además de los normales protocolos y procedimientos de protección de datos, como la existencia de un documento de seguridad.

Así mismo, han de modificar la inscripción en el Registro de la Agencia Española de Protección de Datos, para adecuarlo a la nueva finalidad histórica.

www.bono-che.es

Apercibimiento a Associació Projecte Referèndum D’Independència

2011-12-09T21:58:00.000+01:00

La Agencia Española de Protección de Datos (AEPD) según resolución R/01180/2011, ha apercibido a la a Associació Projecte Referèndum D’Independència (Asociación Proyecto Referéndum de Independencia), por una denuncia presentada por el Presidente de la Asociación Impulso Ciudadano.

La infracción, tipificada como leve, es por no cumplir el artículo 26 de la Ley Orgánica de Protección de Datos (LOPD), es decir, por no proceder a la notificación a la AEPD de los ficheros de datos de carácter personal, previamente.

Estos hechos están relacionados con la celebración de consultas populares en algunos municipios de Cataluña, sobre la independencia y están organizadas por la “Coordinadora per la consulta sobre la independencia” (Coordinadora para la consulta sobre la independencia), que incluía algunas páginas web, donde entre otras cuestiones, aparecía un listado informático de números de DNI de los participantes en la consulta, sin haberse cumplido los requisitos para la formación de tal base de datos, con independencia de que esta haya sido destruida efectivamente tras la consulta.

Con esta resolución, no solo se apercibe por no cumplir con el artículo 26 de la LOPD, sino que se le concede un plazo de un mes, para acreditar que se ha cumplido con lo previsto en este articulo, abriendo expediente de actuaciones previas y advirtiendo que en caso de no acreditarlo, se procederá a acordar la apertura de un procedimiento sancionador.

La recogida de datos masivos para las mas distintas causas, es una cuestión habitual en los últimos tiempos, unas veces para cambiar legislación, otras para mostrar nuestro apoyo a un acontecimiento o contra un acontecimiento, etc. pero lo organizadores de estas recogidas de datos han de cumplir con la LOPD y las personas que dejan sus datos personales, deberían ser informadas de cómo y a quien ejercer sus derechos, negándose a aportar datos personales, en el caso de no hacerse así. Y no solo por internet, sino en los innumerables documentos que nos ofrecen a firmar (dejando nuestros datos personales) en simples fotocopias de papeles en medio de la calle.

www.bono-che.es

Sentencia del Tribunal de Justicia de la Unión Europea sobre la Ley el Reglamento de la LOPD

2011-11-25T19:51:00.002+01:00

El Tribunal de Justicia la Unión Europea (TUE), con sede en Luxemburgo, responde al Tribunal Supremo sobre dos cuestiones prejudiciales, con objeto de esclarecer si es correcta la transposición del articulo 7.f de la Directiva Europea de Privacidad y Protección de Datos, tanto en la Ley Orgánica de Protección de Datos, como en su Reglamento de desarrollo.

El artículo 7 de la Directiva establece seis supuestos en los que se considera lícito el tratamiento de datos personales sin necesidad de que concurran más requisitos, siendo el primero el consentimiento inequívoco del interesado y el último “la satisfacción del interés legitimo perseguido por el responsable del tratamiento”.

Este último, no fue tenido en cuenta al realizar la transposición de la Directiva, como un supuesto legítimo en la ordenación española, lo que ha supuesto numerosos problemas para los ficheros de morosos.

En muchos casos al no ser incluida una clausula específica en muchos de los contratos realizados en España, lo que impedía de hecho que muchas deudas pudieran ser cedidas a estos ficheros de morosos o complicaba en demasía, la creación de un fichero para determinados productos o servicios. Lo que genera casos en los que algunas empresas han sido sancionadas por incluir deudas en ficheros de morosidad o intentar cobrar las mismas, a denuncia del propio moroso.

Gracias al impulso judicial de la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y a la Federación de Comercio Electrónico y Marketing Directo (FECEMD), el TUE ha dictaminado, que la Agencia Española de Protección de Datos (AEPD) no podrá sancionar cuestiones relativas al consentimiento y tiene un efecto directo, a falta de la nueva reglamentación que modificará la actual.

El TUE estima que la regulación española se ha extralimitado al restringir la legitimación en el tratamiento de estos datos personales y afirma que no puede imponer exigencias adicionales a las establecidas en la Directiva, ya que esta establecía una armonización completa y no de mínimos, como erróneamente interpreto el legislador español.

En muchos casos, por la propia configuración legislativa de la Unión Europea, no hay una armonización completa, pero la protección de datos y la privacidad, es una de las que si tienen claramente marcadas las líneas y que el legislador español, no siempre hace la trasposición de forma coherente con las Directivas, lo que da lugar a situaciones peculiares, donde se sanciona por conductas que en otros países europeos no son sancionadas y viceversa.

www.bono-che.es

Ciberforensis para evitar el robo de información confidencial

2011-11-09T18:18:00.000+01:00

La “Ciberforensis” es la metodología para obtener y aportar información y pruebas sobre conductas, hechos privados y delitos perseguidos, a instancia de parte, ocurridos en medios informáticos y digitales, mediante la utilización de herramientas informáticas de análisis forense.

Según información publicada en www.diariojuridico.com, con datos procedentes de Zenit Detectives, el número de investigaciones por robo de información confidencial en las empresas se ha incrementado un 30%.

La utilización de nuevos dispositivos, como los portátiles, smartphones y tablets, está generalizada en la mayoría de las empresas, sin haber actualizado o disponer de sistemas eficientes y seguros que garanticen la seguridad de los datos personales o de la información confidencial de las mismas.

La aplicación de medidas de seguridad correctas, y de los protocolos de seguridad, debería ser una prioridad en las empresas, para evitar el robo de esta información, que perjudica económica y reputacionalmente. Siendo necesario un gasto mayor en ciberforensis para poder demostrar el robo de la información, del que se podría haber aplicado en dificultar el mismo con medias preventivas y de control.

La formación de los trabajadores parece un factor fundamental, para evitar conductas de este tipo, así como la aplicación rigurosa (no aparente como sucede en muchas ocasiones) de los protocolos de seguridad. Para ello, es necesario contar con versiones del sistema operativo, que permita mejorar la seguridad y control de acceso de los usuarios, mediante las versiones profesionales.

En cualquier caso, no hay seguridad completa y en algunos casos, será necesario recurrir a la ciberforensis, para evitar que nuestra información confidencial y los datos personales que tratamos, terminen perjudicándonos o posibilitando la aportación de las pruebas necesarias para que la justicia pueda condenar al ladrón.

www.bono-che.es

Guía INTECO de Cloud Computing en las Empresas

2011-11-04T17:25:00.000+01:00

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado una interesante guía sobre el uso de Cloud Computing en las Empresas (Computación en la Nube).

Este organismo es uno de los más activos en materia de TIC y dispone de numerosas guías, programas de ayuda, etc. principalmente para la seguridad e integridad de la información.

Esta guía, hace un repaso a la famosa Nube, y las peculiaridades y riesgos que supone este tipo de tecnologías, para garantizar la información de las empresas. Según su observatorio, en los próximos años, será de un gran crecimiento, principalmente por el uso en la Administracion Publica, lo que tirara del consumo en empresas, principalmente PYME, mayoritarias en España.

No debemos de olvidar que garantizar la seguridad de la información que nuestra empresa u organización ponga en la Nube, es esencial. Y no todas las empresas que ofrecen estos servicios pueden garantizar esa seguridad, principalmente las gratuitas.

Ya existen gran número de empresas que permiten contratar una Nube específica para nosotros, del mismo modo que contratamos un Hosting (alojamiento web), con una mayor seguridad, tanto en el control de acceso a nuestros datos, como en redundancia y copias de seguridad de los mismos.

Migrar a este tipo de tecnología, se ha de realizar con cuidado, pues el paso inverso es complicado en muchos casos, siendo especialmente importante la seguridad que nuestro proveedor pueda ofrecernos en el contrato, para migrar procesos críticos.

Puede descargarse la guía

www.bono-che.es

Derechos de los Padres separados y Protección de Datos

2011-10-21T09:19:00.000+02:00

La Agencia Española de Protección de Datos (AEPD), ha instruido un procedimiento de tutela de derechos, por no haber sido atendidos los derechos ARCO (acceso, rectificación, Cancelación y Oposición), en concreto el derecho de Acceso, de un padre separado, en relación con los datos de su hijo menor, por parte de la Escuela Infantil donde estudia su hijo.

Es importante destacar, que en sentencia judicial, se atribuye la guarda y custodia del menor a la madre, siendo la patria potestad compartida por ambos progenitores.

La Resolución de la AEPD, establece que han de facilitar los datos, sin que se puedan facilitar los datos de la madre o terceras personas.

Se hace referencia a los artículos 154 y 156 del Código Civil:
“Artículo 154.
Los hijos no emancipados están bajo la potestad de los padres.
La patria potestad se ejercerá siempre en beneficio de los hijos, de acuerdo con su personalidad, y con respeto a su integridad física y psicológica.
Esta potestad comprende los siguientes deberes y facultades:
1. Velar por ellos, tenerlos en su compañía, alimentarlos, educarlos y procurarles una formación integral.
2. Representarlos y administrar sus bienes.
Si los hijos tuvieren suficiente juicio deberán ser oídos siempre antes de adoptar decisiones que les afecten.
Los padres podrán, en el ejercicio de su potestad, recabar el auxilio de la autoridad.”

“Artículo 156.
La patria potestad se ejercerá conjuntamente por ambos progenitores o por uno solo con el consentimiento expreso o tácito del otro. Serán válidos los actos que realice uno de ellos conforme al uso social y a las circunstancias, o en situaciones de urgente necesidad.
En caso de desacuerdo, cualquiera de los dos podrán acudir al Juez quien, después de oír a ambos y al hijo si tuviera suficiente juicio y, en todo caso, si fuera mayor de doce años, atribuirá sin ulterior recurso la facultad de decidir al padre o a la madre. Si los desacuerdos fueran reiterados o concurriera cualquier otra causa que entorpezca gravemente el ejercicio de la patria potestad, podrá atribuirla total o parcialmente a uno de los padres o distribuir entre ellos sus funciones. Esta medida tendrá vigencia durante el plazo que se fije, que no podrá nunca exceder de dos años. …”
Por lo tanto, la Escuela Infantil, ha de proporcionar los datos solicitados por el padre, en concreto:

Fotocopia de la matricula, con fecha de alta e información detallada del centro, condiciones educativas, alimentarias y sanitarias del centro, horarios, información de tutores o responsables, y documentación acreditativa del importe mensual que se abona.

Informes y comunicados que se hayan elaborado y puestos a disposición de la madre, o que el padre necesite saber en cuanto a cualquier curso, actividad escolar o extraescolar. Detalle de las ausencias por causa justificada o injustificada.

Además de cualquier comunicación que el centro efectúe a la madre.

www.bono-che.es

Apercibimiento a un Administrador de Fincas por datos bancarios en Despacho Virtual

2011-10-17T13:22:00.000+02:00

La Agencia Española de Protección de Datos (AEPD) ha realizado un apercibimiento a un Administrador de Fincas de Málaga, por permitir el acceso a los datos bancarios de algunos comuneros de una Comunidad de Propietarios en Torremolinos, desde el Despacho Virtual.

En muchos despachos de Abogados, Gestores, Administradores de Fincas, etc. es común la utilización de una Oficina o Despacho Virtual, donde los usuarios (clientes) tienen acceso a información relacionada con sus expedientes. En este caso, los comuneros tienen acceso a los datos de la Comunidad de Propietarios, como pueden ser las actas, presupuestos, etc.

Por un “error” el administrador había incluido entre esa documentación, los recibos del agua, donde figuran los datos de las cuentas bancarias, es decir, a la vista de todos los usuarios de esa comunidad, estaba disponible la cuenta bancaria de los demás.

Al no haber sido sancionado o apercibidos anteriormente, solo se trata de un apercibimiento sin sanción económica, para la Administracion de Fincas.

Pero este caso, nos debería hacer reflexionar sobre la seguridad de estos sistemas, que en este caso, solo era la cuenta bancaria, pero que en otros casos, podría tratarse de documentos como un informe médico, peritajes o tasaciones, etc. Por lo tanto, la utilización de una Oficina Virtual, debe estar restringida a la información básica mínima, para evitar que datos especialmente protegidos puedan estar expuestos a la vista de otros no autorizados. Este problema puede ser mayor, si utilizamos almacenamiento “en la nube”, generalmente gratuito, y del que no podemos configurar en muchos casos las suficientes medidas de seguridad y privacidad.

Servicio de Prevención del Fraude (SEPFRA) – Fichero DER

2011-09-28T10:55:00.000+02:00

El servicio de Documentos Extraviados y Robados (DER), es una de las medidas de prevención del fraude que ha puesto en marcha el Centro de Cooperación Interbancaria.

Este fichero de auto-inclusión, contiene registros de personas físicas o jurídicas, con campos como la identidad del solicitante, el motivo de la inclusión (robo, extravío del DNI, etc.) y de la denuncia si existiera. Siendo necesario aportar una copia del documento identificativo perdido, robado o duplicado.

Si los datos, corresponden a menores de edad, la inclusión ha de ser realizada por el representante legal, al igual que en el caso de las personas jurídicas.

Las entidades financieras adheridas a este proyecto tendrán el documento sometido a vigilancia, mientras no se solicite la baja del fichero, lo que significa un mecanismo de seguridad y prevención temprana del fraude.

Por supuesto, usted tiene derecho a ejercitar sus derechos de acceso, rectificación, cancelación y oposición, en cualquier momento.

Aunque no todas las entidades financieras están adheridas a este servicio, si creemos que con el tiempo lo estarán todas, lo que solucionara muchos de los problemas de suplantación de personalidad que se producen en estos momentos, como pueden ser la apertura de cuentas corrientes por internet, que luego son utilizadas para operaciones de blanqueo de capitales, por ejemplo.

Pueden encontrar toda la información en www.spfra.es

“Me gusta” de Facebook ilegal en Alemania

2011-09-08T21:30:00.001+02:00

Según información publicada en la Revista de la Agencia de Protección de Datos de la Comunidad de Madrid de Septiembre de 2011 (con fuente de El Mundo 22/08/2011), el distrito de Schleswig-Holstein (Alemania) ha prohibido este popular “plug-in” de Facebook.

Las autoridades alemanas, indican que esta herramienta viola las leyes de privacidad alemana y de la Unión Europea, al permitir que los usuarios expongan su perfil y hábitos, expresando su aprecio por algo en línea, y de esta forma permitiendo que sus movimientos sean rastreados. “Quien visita Facebook o utiliza un “plug-in” social, podrá ser seguido por la empresa durante dos años”

Según Facebook, que niega toda acusación, rechaza firmemente cualquier afirmación de no ser compatible con las normas comunitarias de protección de datos y que la gente tiene el control total sobre como su información es compartida a través de él.

Esta prohibición está basada en un estudio de una comisión, que tras un análisis exhaustivo de la red social, afirma que viola la Ley de Telemedia Alemana y su Ley Federal de Protección de Datos, pues los datos son transferidos a Estados Unidos y los análisis web se envían a los propietarios de portales online (venta a los anunciantes).

Esta nueva sentencia, que ha de cumplirse antes del próximo 30 de septiembre, es una más contra las grandes compañías de internet, que parecen seguir sin tener en cuenta la privacidad de sus usuarios, primando el aumento de ingresos, con la venta de publicidad, cada vez mas segmentada y dirigida, gracias a las técnicas de “Pago por privacidad” que utilizan.

Articulo 45, apartado 6 de la Ley 15/199

2011-08-30T14:15:00.000+02:00

Con la llamada ley de Economía Sostenible (Ley 2/2011), en su disposición final quincuagésima, se ha introducido un nuevo apartado 6 al artículo 45 de la Ley 15/1999 de Protección de Datos:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado precederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.”

La Agencia Española de Protección de Datos (AEPD) ya está teniendo en cuenta este nuevo apartado de la legislación y está realizando apercibimientos en los supuestos que la ley permite.

Es importante destacar la necesidad de atender estos requerimientos para evitar la apertura de expedientes, que pueden dar lugar a importantes sanciones, también elevadas con esta Ley de Economía Sostenible.

Sanción por una fotografía de un menor

2011-07-09T10:09:00.000+02:00

La Agencia Española de Protección de Datos (AEPD) a sancionado con 601,01 € al responsable de una escuela de música en Lugo, por una infracción del artículo 6.1 de la Ley Orgánica de Protección de Datos (LOPD), referente al “principio de consentimiento”.

Los responsables de la escuela de música, no realizaban un consentimiento escrito para la utilización de las fotografías e imágenes de los alumnos (en este caso menor de edad), alegando que en una ciudad pequeña, con el consentimiento verbal es suficiente, pues todos se conocen.

Estas imágenes, procedentes de diferentes actos y conciertos, eran luego utilizadas por la escuela de música en su publicidad, lo que llevo a los padres a presentar el correspondiente procedimiento en la AEPD.

Recordamos, la obligación de documentar el consentimiento, por escrito y en el caso de los menores, la obligación de realizarlo por los dos padres o tutor legal. Pues en algunos casos de separaciones, por ejemplo, se están produciendo problemas con las autorizaciones firmadas solo por uno de los progenitores.

Esta sanción ha sido atenuada, en consonancia con el principio de proporcionalidad, pero constituye una sanción tipificada como grave, que podría haber supuesto una sanción económica muy importante, que seguro hubiera puesto en peligro la continuidad de la academia de música.

Resolución contra la Dirección General de Instituciones Penitenciarias

2011-06-23T10:56:00.001+02:00

Un ciudadano ha solicitado a Instituciones Penitenciarias, la cancelación de sus datos personales, de los archivos que constaban en el denominado “SIP-INTERNOS”, que según acuerdo de la Comisión de Clasificación de Documentos del Ministerio del Interior, tiene valor histórico, estadístico y fue calificado “de conservación permanente”, tanto de este fichero, como los expedientes personales de los internos en centros penitenciarios.

La Agencia Española de Protección de Datos (AEPD), ha determinado en su resolución nº R/00068/2011, que no se puede alegar el “supuesto valor histórico o estadístico” y mucho menos las “necesidades de gestión” propias de la Administracion Penitenciaria, ya que el mantenimiento integro de datos con dichos fines tiene un carácter excepcional regulado por exigencia del artículo 4.5 de la LOPD.

Además, el artículo 136 del Código Penal, establece el derecho de los condenados a obtener del Ministerio de Justicia la cancelación de sus antecedentes penales, una vez cumplidos determinados requisitos y plazos.

Por lo tanto, se ha estimado la tutela de derechos solicitada por el ciudadano, e Instituciones Penitenciarias, deberá cancelar sus datos personales y se emita certificación de la misma, en el plazo de diez días.

Memoria de la AEPD del año 2010

2011-06-03T12:43:00.001+02:00

La Agencia Española de Protección de Datos (AEPD), ha presentado su memoria anual, correspondiente al año 2010, así como una nota de prensa, con los datos más destacados.

Nos gustaría destacar los siguientes datos:

- 4.302 investigaciones (por denuncia y de oficio) con un incremento del 4 %, con 1.170 por telecomunicaciones, 819 por videovigilancia, 691 financieras, 168 Internet y 126 por spam (LSSI)
- 900 actuaciones previas de investigación relacionadas con morosidad, como cesión de datos a empresas para el recobro de deudas, vulneración del deber de secreto al intentar cobrar la deuda, divulgando la supuesta cuantía a familiares y allegados para forzar el cobro, o la utilización de datos para la contratación fraudulenta de servicios.
- 168 actuaciones en el ámbito de Internet, por insuficiente implantación de medidas de seguridad, difusión no autorizada de datos y suplantación de identidad. Los principales problemas se encuentran en las Redes Sociales, como la difusión de datos en foros o blogs, portales de video, portales de contacto personal, servicios de correo electrónico (listas de correo), servicios de localización de información personal, directorios y buscadores personales, etc.
- 114 actuaciones en el ámbito sanitario, principalmente por vulneración del deber de secreto o insuficiente implantación de medidas de seguridad.
- 101.826 consultas en el servicio de Atencion al Ciudadano, con un incremento del 8,2 %.
- Un total de 17.400.000,00 € en sanciones, de las que 621.000 € corresponden a comunicaciones electrónicas comerciales (LSSI) y 507.000 € a videovigilancia.

Con estos datos, podemos sacar muchas conclusiones, pero para nosotros, tiene especial importancia el incremento de las consultas al servicio de Atencion al Ciudadano, lo que indica un mayor conocimiento de los derechos y de su aplicación.

También es interesante el importe y el número de sanciones por incumplimiento en relación a la Ley de Servicios de la Sociedad de la Información (LSSI), así como la videovigilancia, que cada día esta más presente y genera mayor rechazo en la población.

Pero quizás el más llamativo, sea el resultado de dividir el numero de sanciones 591 por el importe total de las mismas (17,4 millones de euros), que nos daría un resultado de 29.441,62 € de sanción media. Está claro que estamos mezclando sanciones graves, con leves y por lo tanto no todos los sancionados han tenido que pagar estas fuertes multas, pero la media nos puede servir como estimación para calcular la importancia en invertir en una buena aplicación de la LOPD y la LSSI, en relación al coste de los profesionales que nos ayudan con la misma.

Problemas de móviles con Android 2.3.3

2011-05-25T12:24:00.000+02:00

Nuevamente, saltan problemas de seguridad, detectados en móviles con sistema Android 2.3.3, que se conectan a redes Wifi no seguras.

Parece que nos estamos encontrando con un avance importante en cuanto a todo tipo de software, tanto para ordenadores, como para equipos en movilidad (portátiles o teléfonos móviles). Pero las empresas no ponen el mismo interés en verificar la seguridad de su software, que en realizar lanzamientos novedosos o mejoras.

Durante muchos años, se ha venido culpando a Microsoft de los problemas de seguridad de sus diferentes versiones de Windows, pero parece que no son de tanta importancia en los nuevos dispositivos o software que salen al mercado, sin que se les acuse o pida explicaciones, como se venía haciendo con el mayor proveedor de sistemas operativos del mundo, a estas empresas que cometen los mismos errores.

Las empresas deberían aprender de los errores cometidos por otros (como Microsoft), tal y como ha hecho ella misma, y de las consecuencias que pueden suponer estos fallos de seguridad. Que podrían llegar a costarles su negocio, incluso mediante la utilización de las herramientas que ellos mismos facilitan y/o aceleradas por la utilización de su propia tecnología (Redes sociales, móviles, red 2.0), lo que supondría un gran paradoja.

Las directivas europeas en materia de seguridad de datos personales y de privacidad, hacen hincapié en el diseño desde la seguridad, como base para cualquier tipo de sistema, software, web, etc. Por lo tanto, este tipo de actitudes pueden suponer una sanción en materia de protección de datos, como ya está estudiando la Agencia Española de Protección de Datos en algunos casos.

Problemas de Seguridad (Sony – Facebook)

2011-05-18T10:51:00.000+02:00

Recientemente han saltado a la prensa diferentes problemas de seguridad, tanto de Facebook, como de Sony con su PlayStation Netwoork, lo que supone el robo de datos personales de millones de personas. La Agencia Española de Protección de Datos (AEPD) ya tiene abiertos expedientes para estudiar estos asuntos.

Estos problemas, vienen a reforzar la idea de prohibir ciertos programas en los sistemas de información de las empresas, para evitar sufrir estos robos de datos personales, que pueden llegar a suponer un gran problema, no solo de imagen de la empresa, con la consiguiente pérdida de valor de la marca, sino también, problemas con la AEPD, por no haber tomado las medidas técnicas y organizativas necesarias para garantizar la integridad y buen uso de los datos personales.

Es frecuente, que en muchas organizaciones, se sea comprensivo con el uso personal de los equipos de la empresa, sin ser conscientes del problema que puede generar. Parece necesario estar en Facebook o utilizar herramientas 2.0 para dar imagen de dinamismo y que esta sea un canal más de venta o de marketing, pero en pocas ocasiones se tiene en cuenta la protección de datos y la Ley de Servicios de la Sociedad de la Información (LSSI).

Que utilicemos una red social, que esta acogida a legislación de terceros países, normalmente americanos o paraísos fiscales, y que por lo tanto, no cumplan con la normativa LOPD no siempre será posible, si no cumplimos con la normativa española. Podemos llegar a ser sancionado por ello, pues ninguna empresa u organización obligada a cumplir con esta legislación puede saltarse la normativa, por mucho que “todo el mundo tenga Facebook”.

La utilización de juegos on-line, similar a los que han generado problemas a Sony, es una gran fuente de problemas en las organizaciones, sobre todo por la poca seguridad que ha de implementar el sistema, para poder ser “jugable”, dejando gran número de puertos abiertos y disminuyendo o anulando el software antivirus y/o cortafuegos.

Cumplir con la normativa en materia de LOPD-LSSI marcadas por la empresa es una obligación de los trabajadores, que han de conocer y aplicar. Estando marcadas en el documento de seguridad de la empresa. No hacerlo, puede suponer la apertura de un expediente sancionador, según la normativa laboral.

Venta del Censo Electoral

2011-04-25T10:39:00.000+02:00

En un reciente artículo del periódico “El País”, de 5 de abril de 2011, se hace referencia a una supuesta venta de los datos del censo electoral, por parte de un empresario alicantino, utilizando la página www.saberlotodo.com y que por los problemas judiciales que ha tenido, han pasado a ser operadas desde la página www.trumbic.com con sede en Suiza.

Visitando la primera web, simplemente conseguimos que nos indiquen que ahora se opera desde la segunda web indicada… Esta segunda, corresponde a una empresa con apariencia completamente legal y en la que no encontramos referencias a este servicio. Si que encontramos una admisión a trámite de una denuncia contra el director de la Agencia Española de Protección de Datos (AEPD), D. Artemi Rallo y otra persona, por un delito de prevaricación.

Si las informaciones facilitadas por el periódico El País, son ciertas, desde estas web se estaría vendiendo los datos personales del censo electoral, para poder localizar morosos y proceder a intentar el cobro de las deudas. La AEPD tiene bloqueado el fichero y parece que el cambio a Suiza es para seguir utilizando el mismo…

La utilización del censo electoral, ha sido una actividad recurrente durante el tiempo, de muchas empresas, especialmente antes de la entrada en vigor de la Ley Orgánica de Protección de Datos, que aunque tiene un precedente en la LORTAD, el grado de concienciación y de sanciones en el manejo de los datos personales no ha sido una costumbre en este país hasta hace unos años. Durante años, se crearon pequeñas agrupaciones o partidos políticos, para tener acceso al censo electoral, pues en las elecciones no conseguían más de un centenar de votos…

Conocemos al Director de la AEPD, D. Artemi Rallo, pues siempre ha tenido un trato muy cercano, tanto en las Sesiones Abiertas anuales de la Agencia, como en los cursos a los que hemos asistido. En nuestra opinión, no solo es un gran profesional y un buen director de la AEPD, también creemos que es la persona que más ha hecho por los derechos de los ciudadanos en la materia y que sus actuaciones están encaminadas siempre a la protección de los datos personales. Puede haberse equivocado, como cualquiera, pero la prevaricación es un delito muy serio para un funcionario público y que este admitida una demanda no significa que sea un prevaricador, cuestión esta que tendrá que dilucidar la justicia.

Cuando según El País, la empresa ha vendido estos datos personales y ha sido bloqueado el fichero e impuesto una importantísima sanción, es después de realizar numerosas actuaciones en el proceso de inspección y soportado por pruebas.

Directiva 2009/136/CE del Parlamento Europeo y del Consejo

2011-04-08T12:53:00.000+02:00

La Directiva 2009/136 CE, de 25 de noviembre de 2009, modifica la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamente (CE) 2066/2004 sobre cooperación en materia de protección de los consumidores.

El próximo día 25 de Mayo de 2011, termina el plazo para que los Estados Miembros adopten y publiquen las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la Directiva.

Según han publicados diferentes medios de comunicación, esta transposición, se realizara mediante la modificación de la Ley 32/2003 General de Telecomunicaciones. Que no puede tardar en producirse.

A la espera de ver como se transpone la Directiva a la legislación española, nos parece importante indicar, que la citada directiva, prohíbe la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, o que no contengan una dirección valida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones o en los que se aliente a los destinatarios a visitar páginas web que contravengan el artículo 6 de la Directiva 200/31/CE (Identificación clara del propietario de la web).

Así mismo, los Estados miembros velaran, en el marco del Derecho Comunitario y de las legislaciones nacionales aplicables, por la suficiente protección de los intereses legítimos de los abogados que no sean personas física en o que se refiere a las comunicaciones no solicitadas.

Tanto la Ley Orgánica de Protección de Datos (LOPD), como la Ley de Servicios de la Sociedad de la Información (LSSI), ya cumplen con la mayoría de disposiciones de la directiva, siendo el derecho español en la materia, uno de los más restrictivos y garantistas de Europa. Quizás sea esta, una de las causas del elevado incumplimiento.

Ley de Economía Sostenible y Ley Orgánica de Protección de Datos Personales

2011-03-07T14:54:00.002+01:00

La Ley 2/2011, de 4 de marzo de Economía Sostenible, es un batiburrillo de modificaciones y disposiciones transitorias y finales, que afectan a gran número de leyes de nuestro ordenamiento jurídico y que ya está en vigor.

Entre ellas, se hacen modificaciones a la Ley 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), modificando el articulo 43,44,45 (añade apartado), 46 y 49. Es decir, todo lo referente a Infracciones y sanciones. Según la Disposición Final quincuagésima sexta.

También se han modificado la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), el Real Decreto legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de propiedad Intelectual, la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, para la protección de la propiedad intelectual en el ámbito de la sociedad de la información y de comercio electrónico. Según Disposición Final cuadragésima tercera.

La modificación más importante referente a la Ley 15/1999 (LOPD), es la tipificación de las sanciones y sobre todo la graduación de la multa:

-Infracción Leve de 900 a 40.000 Euros
-Infracción Grave de 40.001 a 300.000 Euros
-Infracción Muy Grave de 300.001 a 600.000 Euros

Sin duda las sanciones leves han incrementado el importe de la sanción y son consideradas tales, entre otras, la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos (cuestión que se da en la mayoría de lo tratamientos con terceros, como gestores, administradores de fincas, abogados, envíos publicitarios, etc.) O el incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.

En cuanto a las graves, está tipificada como tal, la vulneración del deber de guardar secreto, el incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado, el impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición, o no atender los requerimiento o apercibimientos de la Agencia Española de Protección de Datos o proporcionar a aquella cuantos documentos e informaciones sean solicitados por la misma.

Son sanciones muy graves, entre otras, la recogida de datos de forma engañosa o fraudulenta o la transferencia internacional de datos con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos.

Seguridad Web

2011-03-04T11:23:00.000+01:00

El ayuntamiento de Catarroja (Valencia), ha sido declarado culpable de infringir lo dispuesto en el artículo 9 de la LOPD, sobre seguridad de los datos, tipificada como grave, si bien ya ha corregido los problemas y al ser un organismo público no tiene sanción económica.

Desde una página web, se proporciona acceso a los servicios CAVI, para lo que es necesario acceder con certificado digital.

Un error en la programación web, permitía modificar la URL y acceder a los datos personales de otros usuarios, como los datos de su vehículo, domicilio, DNI, nombre y apellidos y número de cuenta bancaria.

La utilización de páginas web, ha de ser segura, garantizando la seguridad de los datos personales, por lo tanto los responsables de programación de las mismas, han de implementar protocolos seguros y una planificación especifica que garantice desde el inicio la seguridad de los datos, el control de accesos y todas las medidas marcadas en la Ley Orgánica de Protección de Datos (LOPD) y en la Ley de Servicios de la Sociedad de la Información (LSSI).

Un coste de implantación web económico, puede llegar a salir muy caro. Y muchos supuestos profesionales, no dejan de ser aficionados a la programación, que utilizan editores web estándar de terceros en muchos casos, sin los conocimientos y profesionalidad que precisa el tratamiento de datos personales.

Además, los profesionales de la protección de datos, han de trabajar “codo con codo” para cada nuevo proyecto web, para integrarlo con el resto de procedimientos de seguridad de la organización y específicamente para él, sin ser posible estandarizar los protocolos, pues cada empresa, negocio o web son diferentes.

Sanción de 30.0001,00 € por envío de SMS

2011-02-18T12:30:00.001+01:00

La compañía Vodafone España S.A. ha sido sancionada por la Agencia Española de Protección de Datos (AEPD), por una infracción del artículo 21 de la LSSI, tipificada como grave, con una multa de 30.001,00 €.

El cliente de esta compañía, con una tarjeta prepago, había marcado las correspondientes casillas en el contrato, para no recibir información comercial, cuestión que no ha sido respetada por la compañía Vodafone España SA, que aun estando inscrito el cliente en su fichero Robinson (para no recibir información comercial), alegaba que no se ofrecían información comercial, sino posibles ventajas para los usuarios de tarjeta prepago, como la del interesado…

Comunicación comercial es, toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

Además, los artículos 21 y 22.1 de la LSSI, establecen la prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes, que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Esto no será de aplicación cuando exista una relación contractual previa, siempre que se obtuvieran los datos de forma licita y los productos o servicios ofertados sean similares a los que fueron contratados por el cliente.

También se ha de ofrecer la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos, como en cada una de las comunicaciones comerciales.

Por lo tanto, hay que tener especial cuidado en la recogida de datos, especialmente con fines de promoción o comunicación comercial y en el envío de las mismas….

Nueva Guía del Ciudadano de la AEPD

2011-02-10T18:08:00.000+01:00

La Agencia Española de Protección de Datos (AEPD), tiene disponible una nueva Guía para Ciudadanos, con información clara sobre los derechos de los ciudadanos relacionados con sus datos personales.

En ella, se explica que es un dato personal, que obligaciones hay cuando me piden datos, como deben tratarse los datos, los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), que hacer si no se respetan mis derechos, que hacer para tratar datos de otras personas y cosas que debemos saber sobre determinados tratamientos:
-Niños
-Internet
-Publicidad
-Información sobre solvencia

Esta guía ayudara a todos los ciudadanos a tener un mayor conocimiento sobre la Ley Orgánica de Protección de Datos Personales (LOPD), pero sobre todo, dado su carácter didáctico y práctico, ofrece información sobre cómo pueden llegar a utilizarse nuestros datos por parte de las empresas…. En muchos casos no somos conscientes de toda la información que facilitamos, sobre todo en las redes sociales, que es utilizada para poder hacer un perfil de nuestra persona.

En nuestra web, puede encontrar esta y las demás guías de la Agencia Española de Protección de Datos (AEPD)

El certificado digital, firma electrónica y DNIe

2011-01-28T11:10:00.000+01:00

Los certificados digitales y la firma electrónica, son cada día mas utilizados. Las personas físicas disponemos desde hace unos años del DNIe, que dispone de unos certificados para firmar y autenticarnos de forma segura.

El primer problema que podemos tener, es que nos caduquen los certificados, pues no tienen la misma vigencia que el documento. Si nos ha caducado, solo tenemos que personarnos en las oficinas del DNI y en las maquinas habilitadas podremos renovar el certificado, poniendo nuestra huella dactilar. Estas maquinas, también sirven para disponer de un nuevo PIN si no lo recordamos.

Las Sociedades, tienen que cumplir una nueva normativa, que obliga a disponer de un Certificado Digital, para poder acceder a la Dirección Electrónica habilitada de notificaciones de la Agencia Estatal de la Administracion Tributaria (RD 1363/2010). La Agencia Tributaria ya lo está comunicando a los interesados. Dispondremos de 10 días, para presentar nuestro Certificado Digital, aportando los correspondientes certificados del Registro Mercantil actualizados.

Esto supone la necesidad de contar con el Certificado Digital de la Persona Jurídica, que nosotros recomendamos sea en tarjeta digital y podemos obtener de la Fábrica Nacional de Moneda y Timbre (previamente tendremos que comprar un Kit, que nos ofrecen desde su web a la de los proveedores oficiales). Luego tendremos que validar el certificado en la Agencia Tributaria, según se indica en el párrafo anterior. También podemos optar por empresas especializadas en proporcionar los certificados digitales, en varios formatos y de varios tipos.

Estos certificados y el DNIe, tienen múltiples utilidades, no solo con la Agencia Tributaria, sino también con otros organismos púbicos, como ministerios, autonomías, ayuntamientos, etc.

Pero además, desde la versión Windows XP, es posible autenticarse desde un lector y estos certificados y DNIe, para acceder a nuestro sistema informático, lo que aumenta la seguridad en el uso de los equipos informáticos y por lo tanto, en el control de los Datos Personales de nuestra empresa u organización.

Animamos a todos a utilizar este sistema, aunque requiera de pequeñas inversiones.

28 de Enero – Día de la Protección de Datos

2011-01-26T18:09:00.000+01:00

El próximo viernes 28 de Enero, se celebra por quinto año consecutivo el Día de la Protección de Datos.
Esta celebración, está promovida por el Consejo de Europa y por lo tanto se celebra en toda la Comunidad, y conmemora la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal.

Puedes encontrar información sobre este día en la página específica del Consejo de Europa y en la página de la Agencia Española de Protección de Datos.

Nosotros queremos unirnos a esta celebración y que esto sirva para dar un nuevo impulso que ayude a cumplir con la ley a las organizaciones, que en muchos casos se encuentra todavía al margen de la legalidad, aunque ellos crean que cumplen con un curso para un empleado…

Seguridad de las Redes Sociales

2010-12-20T19:55:00.000+01:00

Las Redes Sociales, son parte de la llamada web 2.0 y cada día son más utilizadas por las empresas y profesionales, como herramienta de marketing, lo que plantea ciertos aspectos controvertidos en materia de Protección de Datos Personales, que la Agencia Española de Protección de Datos está estudiando.

Pero uno de los mayores problemas que se plantea ahora estas redes sociales, es el “Malware”, pues según un artículo publicado en la revista PC Actual (http://blog.pcactual.com/2010/11/24/mucho-ojo-con-la-seguridad-en-facebook/1616/) de un informe de la empresa BitDefender, uno de cada cinco usuarios de Facebook sufre infecciones a través de sus perfiles. Sustituyendo al tradicional de infectar mediante el correo electrónico.

Las organizaciones que están presentes en estas redes sociales han de extremar las medidas de seguridad, para garantizar la integridad de sus sistemas de información y evitar tener una mala “reputación digital”. Teniendo en cuenta, que en la mayoría de las infecciones se producen mediante programas que ofrecen acciones prohibidas en las redes sociales, como comprobar quien ha visitado tu perfil o quién te ha borrado, pero también mediante juegos o productos gratuitos.

Como los riesgos y amenazas siempre están por delante de la seguridad, no debemos descuidar las medidas adoptadas de seguridad, tanto en el uso, como las barreras que impidan ser infectados.

Derecho de Cancelación en Google

2010-12-09T21:47:00.000+01:00

La Agencia Española de Protección de Datos, en su resolución nº R/00554/2010, de 12 de marzo de 2010, en un procedimiento de tutela de derechos, presentado por una persona, sobre unos comentarios aparecidos en un blog de www.blogspot.com (también propiedad de Google), como el buscador de internet, que no fue atendido por la sucursal de Google en España, para cancelar unos comentarios con datos personales aparecidos en uno de los blog, a determinado que Google España es responsable de que sean cancelados esos datos.

En las 26 páginas que tiene la resolución, se hace un repaso a la legislación sobre privacidad y protección de datos, no solo española, sino también europea, incluso a la Ley de Servicios de la Sociedad de la Información (LSSI), desbrozando incluso las líneas de negocio de Google y la obligación de cumplir con la normativa en cada país de la Unión Europea.

También se habla claramente del conflicto entre la libertad de expresión y el derecho a la protección de datos y la intimidad. Dejando claro que este derecho tiene su límite en el respeto a los derechos reconocidos en el Título I de la Constitución, en los preceptos de las leyes que lo desarrollan y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia.

Como queda claro, podemos ejercer nuestros derechos ante los buscadores y estos han de atenderlos o podrá ser solicitada la tutela de derechos a la Agencia Española de Protección de Datos.

III Sesión Anual Abierta de la AEPD

2010-11-22T19:39:00.000+01:00

Como en los años anteriores, el pasado día 20 de octubre de 2010, se ha celebrado la III Sesión Anual Abierta de la Agencia Española de Protección de Datos, con la presencia de más de 800 profesionales, entre los que nos incluimos.

Podemos destacar el papel que está teniendo la Agencia en cuanto su liderazgo en materia de Protección de Datos y Privacidad, a nivel europeo y mundial en algunos temas.

También es destacable el papel que está teniendo en la implantación de la administración electrónica en organismos públicos (e-administración), para lo que está realizando la “Guía sobre Protección de Datos en las Administraciones Publicas y la Administracion Electrónica”.

Pero el interés de todos los asistentes es la repercusión de la sentencia del Tribunal Supremo sobre el Reglamento de la LOPD, destacando que de 27 artículos recurridos, se ha confirmado la legalidad de 22 y de la disposición adicional única, dejando imprejuzgado un artículo y anulando 4.

El articulo imprejuzgado es el 10.2, que hace referencia a los casos en que es posible ceder datos personales sin necesidad de consentimiento del interesado, pues la sala tiene dudas sobre el planteamiento.

Como siempre, se hizo referencia a los principales casos que ha tramitado la inspección, sobre temas de morosidad, publicación de datos en Internet sin consentimiento y videovigilancia.

La subdirectora General del Registro General de Protección de Datos, nos informo de que ya se ha alcanzado la cifra de 2 millones de ficheros inscritos y sobre diferentes cuestiones presentadas como la necesidad de inscripción de particulares, comunidades de vecinos, etc.

Esperamos que el próximo año, vuelva a realizarse estas jornadas, que permiten mantener contacto directo con la Agencia y sus responsables, asi como solucionar dudas y ver cómo está el mundo de la Protección de Datos.

PAY FOR PRIVACY

2010-10-24T20:46:00.000+02:00

En la web 2.0 existe una nueva moneda de cambio, la información personal, lo que da una apariencia de gratuidad, pero con valor económico, esto es conocido como “Pay for privacy”.

Gracias a las redes sociales, nuestra identidad digital coincide con la real, ya pasaron los tiempos de los “Apodos-Alias” que todo el mundo utilizaba al principio de la era de internet, ante el posible riesgo para su seguridad y el desconocimiento de que pasaba en la red….

Esta identidad digital, la forman toda nuestra información personal, que es la forma de pagar para disfrutar de servicios gratuitos en la red, pero que las empresas propietarias de estos servicios utilizan para poder ofrecer un mejor servicio publicitario a sus anunciantes, que es su verdadero modelo de negocio, pero que no sería posible sin este “Pago por privacidad”.

Los actuales modelos, permiten una segmentación ideal para los anunciantes, no solo por edad, situación, sexo, etc… sino que pueden llegar a segmentar por muchísimos más conceptos, tomando como referencia, por ejemplo, a que grupos estamos apuntados, el numero de amigos, etc…

Pero no solo los anunciantes utilizan estos datos… También lo hacen las empresas antes de contratar un trabajador, los departamentos de compras, etc…

Tenemos que desterrar que Internet es gratis… Pagamos con nuestra privacidad.

La formación en materia LOPD-LSSI

2010-10-07T18:22:00.000+02:00

La Ley Orgánica de Protección de Datos Personales y la Ley de Servicios de la Sociedad de la Información, son dos leyes que están en continua evolución, en cuanto a las sentencias e interpretaciones de la propia ley, que pueden llegar a modificar el marco de aplicación real de las mismas.

La única forma de estar al día de las sentencias de los tribunales, de los procedimientos, guías, etc. de la Agencia Española de Protección de Datos, es estar en continua formación y disponer de los medios adecuados para seguir la evolución.

Por eso, nuestra empresa está integrada como marca, dentro de un Despacho de Abogados, lo que nos permite seguir la evolución, mediante las diferentes sentencias de los tribunales o de la Agencia Española de Protección de Datos.

Así mismo, participamos en gran número de acciones formativas, como la realizada esta semana (días 4,5 y 6) por la Universidad Internacional Menéndez Pelayo de Valencia, dirigida por el Director de la Agencia Española de Protección de Datos, D. Artemi Rallo Lombarte y la participación de Ricard Martínez Martínez, coordinador del área de estudios de la Agencia. Sobre protección de datos, tecnologías de la información y sistema educativo.
Treinta horas de formación, en las que hemos podido disfrutar de la participación como ponentes de entre otros: D. Artemi Rallo Lombarte, Director de la Agencia Española de Protección de Datos; D. Arturo Canalda González, Defensor del menor de la Comunidad de Madrid; Dña. Elisenda Malret Garcia, Catedratica de Derecho Administrativo de la Universidad de Barcelona; D. Ricar Martínez Martínez, Coordinador del Área de Estudios de la AEPD; D. José López Calvo, Subdirector General de Inspección de la AEPD; D. Icaro Moyano Díaz, Director de Comunicación de Tuenti; D. Víctor Izquierdo Loyola, Director General del Instituto de Tecnologías de la Comunicación (INTECO); Dña. Bárbara Navarro, Directora de Relaciones Institucionales de Google España….

Esta formación hace posible que estemos actualizados a los últimos conocimientos en la materia, imprescindible para realizar un buen trabajo y ofrecer un mejor servicio.

Facilitar datos de los Socios de una Asociación

2010-09-24T09:37:00.000+02:00

En el informe 0038/2010 de la Agencia Española de Protección de Datos (AEPD), se plantea la legalidad de comunicar los datos de los asociados a uno de ellos….

Existe la posibilidad de que este autorizada directamente por el interesado, mediante el correspondiente consentimiento.

Pero para los casos, como pueden ser unas elecciones a la Junta Directiva, donde se proporcione la información a los candidatos, la Agencia, indica que “la comunicación a los asociados de los datos de carácter personal de los demás asociados, será posible en la medida en que la misma se encuentre expresamente prevista en los Estatutos de la Asociación, dado que solo en ese caso sería posible entender dicha cesión amparada en el articulo 11.2 c) de la Ley Orgánica 15/199, única norma que podría invocarse como legitimadora del tratamiento de los datos sin contar con el consentimiento de los propios asociados”.

Por lo tanto, para la cesión del listado en que se contengan sus datos deberá estarse a lo dispuesto en los Estatutos de la Asociación, respecto a la cesión del listado de socios a los demás asociados y a las finalidades con que está este prevista, de forma que no podrá llevarse a cabo a falta de previsión expresa ni con fines distintos a los recogidos en dichos Estatutos.

Recomendamos a las Asociaciones que revisen sus Estatutos y los adapten a la normativa en materia de protección de datos personales, incluyendo los casos en los que será posible la comunicación de datos, que datos se facilitaran y que uso le les podrá dar a los mismos.

Guía tecnología RFID

2010-09-16T11:48:00.000+02:00

La Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Tecnologías de la Comunicación (INTECO), han elaborado una guía sobre seguridad y privacidad de la tecnología RFID.

Estas “etiquetas” que todos conocemos por ser utilizadas como “alarmas anti robo” en muchas empresas, pueden ser utilizadas para muchas más cosas, al tratarse de un emisor que permite identificar inequívocamente cada una de las señales. Incluso las hay bidireccionales y programables.

Gran número de empresas de tecnología están trabajando para ampliar el uso de estas etiquetas, que ya son utilizadas para la gestión de envíos, stock de almacén, etc. pero que podrían llegar a ocasionar problemas de seguridad si son mal utilizadas, especialmente sin nuestro consentimiento.

Recomendamos destruir estas etiquetas, una vez realicemos la compra de productos, para evitar problemas con las alarmas, pero también, para evitar que analicen nuestros datos, creando perfiles o incluso, que sirvan de puerta de entrada en nuestros sistemas de información.

Esto permitiría elaborar perfiles personales e incluso ser una puerta de entrada a otros sistemas de información. Puede encontrar la guía pinchando aquí.

El fraude de la Protección de Datos a coste 0,0 €

2010-09-02T11:15:00.000+02:00

Como informa el diario PUBLICO, en su edición digital de 2 de septiembre de 2010, el Servicio Público de Empleo (INEM) y la Agencia Tributaria, están investigando el fraude producido con las implantaciones y auditorias para cumplir con la Ley de Protección de Datos, utilizando los fondos de la Fundación Tripartita.

Esta cuestión de la que ya hemos hablado en este blog, comenzó a investigarse por las denuncias de las empresas de consultoría, que veíamos como se engañaba a las empresas y a los trabajadores, ofreciendo la implantación de las medidas necesarias a coste 0,0 €, y cobrando de las subvenciones para formación de la citada Fundación Tripartita.

Esto no solo constituye un fraude en el uso de estos fondos, que ya ha sido motivo de investigación para 715 empresas, en las que se han encontrado irregularidades, sino que constituye también un fraude a por el IVA no cobrado, que se ha de aplicar a los trabajos de consultoría y que están exentos en el caso de los cursos de formación.

Muchas empresas de las que han estado “ahorrando”, se verán ahora con importantes sanciones y la obligación de devolver los importes de los fondos de formación continuada.

Sentencias del Tribunal Supremo sobre el Reglamento de la Ley de Protección de Datos

2010-08-26T12:12:00.000+02:00

Recientemente, diferentes sentencias del Tribunal Supremo (Sala de lo Contencioso Administrativo), han estimado parcialmente los recursos presentados por la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF), Federación de Comercio Electrónico y Marketing Directo y Experian Burreau de Crédito SA, contra algunos artículos del Reglamento de Desarrollo de la LOPD.

Han quedando imprejuzgada por cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, el articulo 10.2 a) y b), de lo que tendremos informado.

Pero lo que sí afecta a este reglamento, es la anulación de los artículos 18 y 123.2 en su totalidad y 38.1 a), en parte.

El artículo 18, habla de la acreditación del cumplimiento del deber de información, lo que sin duda evitara gran número de sanciones.
El artículo 123.2 de la Autorización por el Director de la Agencia Española de Protección de datos, que en supuestos excepcionales, podía designar a funcionarios no habilitados para las labores de inspección.

La parte anulada del articulo 38.1 a) “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa…..” permite la inclusión en los ficheros de morosidad de todas las deudas vencidas, sin iniciar reclamación de ningún tipo.

Informe del Grupo del Articulo 29 – Publicidad online basada en comportamiento

2010-08-02T11:59:00.001+02:00

El informe, de fecha 22 de Junio de 2010, del Grupo del Articulo 29 de la Directiva 95/46/EC, sobre publicidad online basada en el comportamiento, en relación a los navegadores y empresas de publicidad que utilizan cookies, establece, para la nueva Directiva sobre privacidad en telecomunicaciones (136/2009/CE), la necesidad de autorización por parte del usuario.

La mayoría de navegadores analizados por este grupo de trabajo, permiten el uso de cookies por defecto, cuestión esta que tendrá que ser variada y obligara a introducir mecanismos de autorización y cancelación, sencillos para los usuarios.

Además, las redes de publicidad y los editores de páginas web, tendrán que informar de forma clara y precisa sobre el uso de esta técnica, de forma que el usuario pueda tomar una decisión meditada sobre la autorización de este mecanismo.

Así mismo, recomienda no utilizar este tipo de publicidad, para los menores de edad, debido a su vulnerabilidad.

A la espera de su trasposición a la legislación nacional, recomendamos a los encargados de páginas web, que se adecuen a esta nueva normativa europea.

Sanción por Notificar Conductor que no trabaja en la empresa

2010-07-19T21:21:00.000+02:00

Recientemente, la Agencia Española de Protección de Datos, ha sancionado con 60.101,21 € al responsable de una empresa, por notificar como conductor de un vehículo de renting a un empleado que ya no trabajaba en la empresa en el momento de las denuncias.

Lo normal, mas con la nueva ley de seguridad vial, es tener un conductor asignado que al llegar las sanciones a la empresa de renting o leasing, comunique el conductor asignado al organismo sancionador.

Esta empresa, no tenía un conductor asignado, pero en algún momento, alguien lo incluyo como conductor habitual en el sistema informático y por lo tanto se comunico al organismo sancionador, lo que ha supuesto el intento por parte de este organismo, de cobrar las correspondientes sanciones y detraer los puntos del permiso de conducir.

Gracias a una vida laboral, donde está claro que ya no es empleado de esa empresa, en las fechas de las denuncias, ha conseguido evitar las sanciones y la pérdida de puntos.

Además, la denuncia presentada a la Agencia Española de Protección de Datos, ha permitido que se sancione a la empresa.

Está claro, que para muchas empresas, cumplir con la Ley de Protección de Datos, se limita a tener registrados los ficheros, y como mucho, disponer de un documento de seguridad, pero no se realizan efectivamente los procedimientos de seguridad indicados en los mismos….

La Gestión de Copias de Seguridad

2010-07-06T11:34:00.000+02:00

La mayoría de las organizaciones, no tienen implementado correctamente un sistema de copia de seguridad de sus datos, cuestión marcada por la normativa en Protección de Datos, que además nos facilita la continuidad de las operaciones ante problemas inesperados, como la rotura de un disco duro, un virus, etc.

¿Resistiría su organización a una incidencia sin las copias de seguridad? Seguramente no, pues los procesos manuales no se realizan con la regularidad suficiente, los soportes donde se almacena en ocasiones no son correctos para los datos o simplemente, para evitar tardar, realizamos copias de algunos archivos….

La mejor manera de cumplir con la normativa y garantizar la continuidad de la actividad, es contar con un sistema automático, que cumpla con los requisitos de seguridad necesarios y de información sobre el correcto funcionamiento de las copias.

Nosotros podemos ofrecer uno de los mejores servicios de España, gracias a nuestro acuerdo con Seycob, lo que le permitirá cumplir con la normativa y estar seguro de tener sus datos disponibles ante una incidencia de seguridad.

Solicítenos información y dispondrá de un mes de prueba GRATIS. informacion@bono-che.es

Recuerde probar su sistema de copias, mediante una restauración programada, cada seis meses.

La Memoria de la Agencia Española de Protección de Datos

2010-06-25T14:19:00.000+02:00

La Agencia Española de Protección de Datos (AEPD), presento a primeros de mes, su memoria anual, en la que queda claro, que cada vez son mayoría el numero de organizaciones que cumplen con el requisito de registrar los ficheros y entendemos que cumplen con el resto de la normativa.

Las reclamaciones planteadas a la AEPD, también han aumentado considerablemente, un 75 %, siendo de superiores a las 4.100, lo que indica una mayor conciencia de los ciudadanos con esta normativa y el manejo de sus datos personales.

Los sectores mas investigados han sido telecomunicaciones, entidades financieras y videovigilancia, pero también Administraciones Publicas, comunicaciones comerciales (spam), profesionales, administradores de fincas, comunidades de propietarios, servicios de internet, comercio, transporte, hostelería, sanidad, recursos humanos, asociaciones, federaciones, colegios profesionales, ONG, fundaciones y club, entre los más investigados.

También destacamos la opinión de la AEPD en torno a la Directiva 20025/58/CE, que puede hacer modificar ciertos aspectos de las páginas web, como el uso de “cookies”, en un futuro.

Pero si algo destaca claramente, es el aumento de Resoluciones, en un 60,42% en el último año, situándolas en 5.852, lo que ha supuesto una recaudación de 24.872.979,72€. Una importante cantidad económica que sirve para financiar a la propia Agencia de Protección de Datos.

Derecho de oposición a las imágenes de un Trabajador

2010-06-11T18:35:00.000+02:00

En diferentes resoluciones de tutela de derechos, la Agencia Española de Protección de Datos, ha considerado que los trabadores no pueden ejercitar su derecho de cancelación sobre las imágenes captadas por las cámaras de seguridad en las instalaciones de la empresa.

Además de la normativa de protección de datos, siempre se hace referencia al artículo 20.3, del Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, que establece “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

Por lo tanto, utilizar cámaras para vigilar el cumplimiento de las obligaciones laborales, está permitido. Eso sí, siempre es necesario informar que se tienen instaladas estas cámaras y cumplir con toda la normativa de Protección de Datos.

Google y las redes Wi-Fi

2010-05-21T12:52:00.000+02:00

La Agencia Española de Protección de Datos, ha emitido una nota de prensa de 19 de mayo de 2010, informando de la apertura de una investigación contra Google, por la captación de datos de redes Wi-Fi en España.

Esta empresa ha reconocido que los vehículos utilizados para realizar las fotografías de su producto StreetView, también son utilizados para captar y almacenar la localización de las redes Wi-Fi, como datos de identificación de la red, direcciones MAC y “por error” datos de tráfico asociado a estas redes (datos transferidos mediante redes abiertas).

Esto, sin duda, podría constituir una vulneración de la Ley Orgánica de Protección de Datos, por lo tanto, se ha solicitado a la empresa toda la información referente al asunto, que puede afectar a un gran número de ciudades españolas. Solicitando el bloqueo de los datos de trafico asociados a estas redes.

Parece claro que Google no realiza sus productos teniendo en cuenta la privacidad, pues como ya hemos publicado en el anterior artículo, un grupo de Agencia de Protección de Datos, ya le ha solicitado cambios en Google Buzz.

Ejemplarizar con estas grandes multinacionales es importante, para evitar que el resto pensemos que vale todo, pues ellos lo hacen….

Las Agencias de Protección de Datos contra Google

2010-05-14T09:31:00.000+02:00

El pasado 20 de Abril de 2010, la Agencia Española de Protección de Datos y las de otros nueve países, han solicitado a Google, mayor respeto por las leyes de privacidad, ya que debería dar ejemplo, como líder del mercado.

El caso concreto de Google Buzz, que en su lanzamiento en versión Beta, ha generado innumerables problemas de privacidad y control de los datos personales, hace saltar las alarmas y quejas de los usuarios y de las agencias de protección de datos de medio mundo.

Google ya tuvo problemas con el Street View, que no respetaba las normas de privacidad en su lanzamiento al mercado, cuestión que se fue corrigiendo con el paso de los meses. Por lo tanto, consideran que esta empresa no se toma en serio las leyes de privacidad imperantes en la mayoría de países del mundo, cuando realiza lanzamientos de productos a nivel mundial.

Entre las recomendaciones realizadas están las siguientes:

1. Recoger y archivar los datos mínimos necesarios para lograr el fin determinado del producto o servicio.
2. Dar información clara y no ambigua, con respecto al uso que se va a dar a los datos, esta información ha de darse previo al otorgamiento del consentimiento.
3. Crear procedimientos en evitación de fallos en la protección de datos.
4. Asegurar que los controles de privacidad establecidos son suficientes y fáciles de usar.
5. Asegurar que todos los datos personales están adecuadamente protegidos.
6. Facilitar a los usuarios procedimientos simples para borrar sus cuentas y contestar a sus requerimientos, en dicho sentido, en el plazo más breve posible.

Carta (en ingles): pinche aquí.

Comunicado de la Fundación Tripartita para la Formación en el Empleo

2010-04-16T19:35:00.000+02:00

La Fundación Tripartita para la Formación en el Empleo, ha colgado un comunicado en su página web, sobre la “Utilización de bonificaciones para LOPD”, en relación a las empresas que realizan formación para sus trabajadores, en previsión de errores en las bonificaciones relacionadas con la implantación de sistemas de protección de datos de carácter personal.

Alerta de la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoria y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para formación, que pude llegar a ser constitutivo de fraude.

Muchas empresas que han utilizado este sistema, se verán ahora obligadas a devolver las bonificaciones, e incluso pueden ser sancionadas, por la incorrecta utilización de estos fondos.

Además, se ha habilitado una cuenta de correo electrónico servicioalcliente@fundaciontripartita.org para que se denuncien estas prácticas, incluidas las meras ofertas por parte de supuestas empresas especializadas en Protección de Datos (LOPD-LSSI).

Animamos desde esta página, a denunciar esta práctica y a terminar con un fraude que parecía estar extendiéndose en los últimos años, con el perjuicio que supone para los profesionales del sector, que invertimos muchas horas de trabajo en realizar un trabajo de calidad.

Sanción a una administración de fincas

2010-04-09T12:16:00.001+02:00

La Agencia Española de Protección de Datos, ha sancionado a un Administrador de fincas, por infracción del artículo 10 de la LOPD, tipificada como leve, con 6.000,00 €.

En la Junta General de la Comunidad de Propietarios, dentro de las explicaciones sobre la gestión realizada por esa administración de fincas, se incluyo un listado con los nombres, cuentas corrientes e importes de los recibos domiciliados.

Ellos se amparan en la Ley de Propiedad Horizontal y un informe del Gabinete Jurídico de la Agencia de Protección de Datos, como comunicación de información a los comuneros que lo soliciten.

En realidad, no es necesario la revelación de estos datos, en el supuesto informe contable para informar a los comuneros. El informe de la Agencia se refería a la información sobre los empleados de la comunidad, no a la revelación de cuentas bancarias a todos los vecinos.

Las comunidades de propietarios y los administradores de fincas, en muchos casos desconocen la normativa de Protección de Datos y en otros, simplemente no la aplican. Recordamos la obligación de cumplir con esta normativa en su totalidad, siendo el Responsable del Fichero la comunidad de propietarios y pudiendo ser Responsable de Tratamiento el administrador de fincas.

Multa a un Estanco por emitir facturas con datos de curriculum-vitae

2010-03-30T20:42:00.000+02:00

La Agencia Española de Protección de Datos, ha multado a la titular de un estanco, por emitir facturas con los datos de los curriculum-vitae dejados por los solicitantes de un puesto de trabajo, con 60.101,21 € por infracción del artículo 6.1 de la LOPD.

Ella alega que se trata de un error, que debió de pulsar la tecla equivocada o la carpeta equivocada, por las prisas…. Cuando les solicitan aportar los titulares reales de las facturas, ninguno recibe la notificación en su domicilio.

La utilización de datos personales está ampliamente regulada y uno de los requisitos es aplicar los protocolos de seguridad que figuran en el documento de seguridad de la empresa. No pudiendo ser posible la equivocación que ellos alegan y en caso de producirse, los titulares reales recibirían las notificaciones de la Agencia, pero ninguno lo hace…. Curioso

Seguramente, a esta multa se unirán las sanciones del Comisionado del Tabaco, de la Agencia Tributaria, etc.

Los Informes Jurídicos de la Agencia Española de Protección de Datos

2010-03-11T20:24:00.001+01:00

La Agencia Española de Protección de Datos (AEPD), mediante su Gabinete Jurídico, emite informes a las consultas realizas, lo que las convierte en vinculantes.

En uno de los últimos, Informe 0325/2009, se intenta aclarar las obligaciones de información en relación con los empleados.

Primero aclara que “No será preciso el consentimiento del afectado cuando los datos de carácter personal se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”.

También nos indica, que cualquier recogida y tratamiento de datos de los trabajadores que exceda de los datos necesarios para la creación y mantenimiento de la relación contractual, requerirá el consentimiento del trabajador afectado.

Se hace especial hincapié en las cesiones previstas de datos, para ciertos tratamientos, legitimados por gran número de leyes, como la de Prevención de Riesgos Laborales, el Convenio Colectivo, Ley de Trafico, Circulación de Vehículos a Motor, Seguridad Vial, etc. Así como lo relativo a la Ley 41/2002 de la Autonomía del Paciente, en relación a los datos médicos y documentación clínica.

En definitiva, recomendamos su lectura, en la página web de la Agencia.

LA EXCUSA DE LA PROTECCIÓN DE DATOS

2010-02-22T19:07:00.000+01:00

La normativa de protección de datos de carácter personal, para garantizar este derecho fundamental, implementa gran número de normas y disposiciones, incluidas las de la Agencia Española de Protección de Datos (AEPD).

Con el tiempo, más organizaciones públicas y privadas, están adaptadas a esta normativa, unas solo en apariencia y otras realmente cumpliendo con los protocolos de seguridad necesarios.

Ahora bien, estos protocolos son más suaves cuando se trata de contratar servicios que cuando se trata de realizar, por ejemplo una baja de servicio, he incluso, entre algunos organismos, está de moda utilizar la escusa de la protección de datos para no realizar ciertos procedimientos o actuaciones, a las que tenemos derecho.

Como ejemplo, para contratar una línea de teléfono, con una llamada y mandar los datos por correo postal o por fax al cabo de unos días, es suficiente. Para aumentar los servicios contratados, casi no nos preguntan nada más que nuestro DNI. Pero para poner una queja por facturación errónea, nos solicitan el DNI, el número de contrato, incluso el consumo de las dos últimas facturas… Si lo que queremos es dar una baja de servicios, nos podemos armar de paciencia y preparar documentación… La excusa es: “No podemos por la protección de datos”.

Pero lo más absurdo, es que organismos oficiales, como ayuntamientos, policía, etc. utilicen esta misma excusa para no cumplir con sus obligaciones, conculcando los derechos de los ciudadanos y obligándonos en pleno Siglo XXI y con la instalación de la administración electrónica muy avanzada, que tengamos que ir en persona, con esta misma escusa.

La Normativa Laboral y la Protección de Datos

2010-02-17T11:09:00.000+01:00

La normativa laboral y la de Protección de Datos, entran en conflicto en numerosas ocasiones, pero hoy queremos hablar de lo relacionado con la Prevención de Riesgos Laborales y los Datos Personales.

Los trabajos de vigilancia periódica de la salud, que suelen realizar estas empresas, son datos personales, especialmente protegidos, aunque bien es cierto que la empresa ha de conocer si sus trabajadores son aptos o no aptos para el puesto de trabajo que realizan.

Por lo tanto, la empresa ha de recibir un informe de la empresa de prevención, con los certificados médicos realizados y sus resultados de aptitud, nada más.

El resto de información, se ha de remitir directamente al interesado para su conocimiento.

Algunas empresas, no realizan correctamente este tipo de procedimientos, pues entregan al empresario toda la documentación, para que ellos la repartan a los trabajadores. Incluso, una de ellas ha solicitado información para poder depositar en los servidores de la empresa, toda la información, lo cual les ha sido denegado.

Recordar, que la Ley de Prevención de Riesgos Laborales, prohíbe la transmisión de la información médica obtenida a cualquier tercero, distinto del “personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores”, incluido al profesional médico de la empresa en que los trabajadores prestan su actividad, si este no ha realizado las actividades de vigilancia de la salud.

Por lo tanto, el médico o la empresa de prevención que realiza los trabajos, es el encargado de custodiar la documentación, facilitando a la empresa el apto/no apto del trabajador y al trabajador los resultados de los trabajos.

28 Enero Día de la Protección de Datos

2010-01-20T22:21:00.000+01:00

La Agencia Española de Protección de Datos (AEPD) y el Consejo de Europa, vienen organizando desde el año 2006, el Día de la Protección de Datos.

Para conmemorar este día, la Agencia Española de Protección de Datos ha realizado un apartado específico en su página web, con videos e información, que podéis encontrar aquí:

http://www.agpd.es/portalweb/dia_proteccion-datos_2010-ides-idphp.php

Así mismo, el Consejo de Europa, también ha realizado un apartado específico para la celebración, con información de interés y actividades de todas las agencias participantes, que podéis encontrar aquí (en ingles):

http://www.coe.int/t/e/legal_affairs/legal_co-operation/data_protection/Default_DP_Day_en.asp#TopOfPage

Desde aquí, queremos unirnos a la conmemoración, recordando la importancia de proteger los datos personales, que están presentes en gran número de facetas diarias de nuestra vida, lo que da lugar a abusos y perjuicios, que entre todos debemos de evitar, dando a conocer y utilizando la normativa de Protección de Datos.

La Ley Ómnibus y los sistemas de videovigilancia

2010-01-11T21:03:00.000+01:00

La Agencia Española de Protección de Datos (AEPD), ha emitido una Nota Informativa, sobre la nueva Ley 25/2009 ó Ley Ómnibus, y su implicación en los sistemas de videovigilancia.

Con la nueva ley, que ha entrado en vigor el 27 de diciembre de 2009, se modifica la obligatoriedad de realizar la instalación de cámaras de videovigilancia por parte de las Empresas de Seguridad, al haber reformado la Ley de Seguridad Privada, liberalizando la instalación, venta, entrega o mantenimiento de de estos sistemas. Así mismo, tampoco será obligatorio notificar el contrato al Ministerio del Interior.

En todo caso, siguen vigentes el resto de obligaciones, en relación con los ficheros y las cámaras de videovigilancia, recogidas en la Instrucción 1/2006 de la Agencia Española de Protección de Datos, que entre otras son:

- Que las imágenes sean las necesarias y no excesivas para la finalidad perseguida.
- Informar mediante carteles e impresos a los interesados.
- Notificar la existencia del fichero al Registro de la AEPD.
- Implantar las medidas de seguridad necesarias.

Esto legaliza las instalaciones realizadas por no empresas de seguridad, pero sigue obligando a cumplir con el resto de obligaciones marcadas en la normativa de Protección de Datos.

Novedades en nuestra Web

2009-12-26T11:07:00.000+01:00

Ya están disponibles en nuestra web, en la sección de novedades, la Resolución de Madrid, sobre estándares Internacionales de Protección de Datos Personales, que fue propuesta en la 31 conferencia Internacional de Autoridades de Protección de Datos y Privacidad, celebrada el 5 de noviembre de 2009 en Madrid.

Esta resolución ha sido firmada por:
Agencia Española de Protección de Datos, Comisario Federal de Protección de Datos y la transparencia (Suiza), Supervisor Europeo de Protección de Datos, Comisión Nacional de la Informática y de las Libertades (Francia), Comisario de Protección de Datos de Irlanda, Oficina del Comisario de Privacidad de Canadá, Oficina para la Protección de los Datos Personales (Republica Checa), Comisario Federal para la Protección de Datos (Alemania), Garante para la Protección de Datos Personales (Italia), Autoridad Holandesa de Protección de Datos, Comisario de Privacidad de Nueva Zelanda, Oficina del Comisario de Información (Reino Unido), Agencia de Protección de Datos de Andorra, Agencia Catalana de Protección de Datos, Agencia de Protección de Datos de la Comunidad de Madrid, Agencia Vasca de Protección de Datos, Oficina del Supervisor de Protección de Datos de la Isla de Man, Inspección de Protección de Datos de Estonia, Inspección Estatal de Protección de Datos (Lituania), Comisario para la Protección de Datos de Berlín (Alemania), Comisario de Protección de Datos de Schleswig-Holstein (Alemania), Director Nacional de Protección de Datos Personales (Argentina), Comisario de Protección de Datos (Malta), Comisión de la Informática y las Libertades (Burkina-Faso), Comisario de Protección de Datos Personales (Chipre), Defensor de la Protección de Datos (Finlandia), Comisario de Información (Eslovenia) y Autoridad Griega de Protección de Datos.

Así mismo, también está disponible la nueva Guía de Relaciones Laborales, editada por la Agencia Española de Protección de Datos, que puede descargar en nuestra web.

Aprovechamos la ocasión, para felicitar las Navidades y deseando lo mejor para el próximo año 2010.

Cámaras conectadas a una página Web

2009-12-10T19:27:00.000+01:00

La Agencia Española de Protección de Datos, ha multado con 2.000,00 €, a la persona que tenia conectadas una serie de cámaras, que podían verse desde una página web.

Las citadas cámaras enfocaban a la calle, lo que hacía reconocibles a las personas que se encontraban en ellas.

La infracción contra el artículo 6 de la LOPD, considerada como Grave, podría haberle costado de 60.101,21 € a 300.506,05 €, de no haber considerado la falta de intencionalidad y haber retirado las citadas cámaras, lo que ha sido tenido en cuenta por la Agencia a la hora de imponer la sanción económica.

Recordamos a todos, que existe una Guía de Videovigilancia, con las obligaciones a cumplir en caso de utilizar imágenes.

Ahora también la Policía Local

2009-11-24T09:22:00.000+01:00

Ya sabemos que la Agencia Española de Protección de Datos dispone de inspectores, que velan por el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) y la Ley de Servicios de la Sociedad de la Información (LSSI).

Ahora también se realizan denuncias por parte de la Policía Local, en concreto, hay una sanción a una cafetería, iniciada por denuncia de la Policía Municipal de Madrid.

La citada cafetería, disponía de cámaras de seguridad, instaladas por una empresa de Seguridad, por lo que sanción por infracción al articulo 6 de la LOPD, es decir, por no contar con un contrato escrito con la empresa de seguridad, fue archivada.

Si fue multada, con 1.000,00 € por incumplir el articulo 26 de la LOPD, al no haber inscrito previamente los ficheros en el Registro de la Agencia Española de Protección de Datos.

Por lo tanto, las policías locales, están empezando a realizar denuncias, en este ámbito de actuación, que entendemos son fruto de las inspecciones realizadas para verificar el cumplimiento de las normativas municipales, como las licencias, pero que pueden desembocar en una denuncia y posible sanción por el incumplimiento de la normativa de Protección de Datos Personales.

Recordamos también, la obligación de cumplir con esta normativa, previa al inicio de actividades, y en el caso de la instalación de cámaras de videovigilancia, previa a su instalación por parte de una empresa autorizada de seguridad.

¿Que programas y equipos me ayuda a cumplir la LOPD?

2009-11-19T21:52:00.000+01:00

En muchas ocasiones, nos preguntan sobre que software y equipos informáticos nos permite cumplir con la LOPD, pero no hay una sola respuesta, aunque la mejor opcional sin duda, seria esta:

Un servidor, donde se archivan los ficheros, los correos electrónicos y las bases de datos, la conexión a Internet, etc.

PC, con sistema operativo profesional, para conectarnos al servidor, mediante una red segura, preferiblemente por cable.

Periféricos conectados por cable, con todas las medidas de seguridad activadas y las claves por defecto cambiadas.

Software de gestión especifico para nuestro negocio, preferentemente alojado en nuestro servidor, “la nube” sigue sin ser segura, que utilice la arquitectura Cliente-Servidor, mediante bases de datos SQL, configurable mediante mapas de acceso y con la posibidad de integrar documentos para gestionar los derechos ARCO.

Estos programas, suelen ser conocidos como CRM o de relación con los clientes, pero si son específicos para nuestro negocio, suelen tener integrados módulos para contabilidad, oportunidades de negocio, etc. Ademas de permitirnos comprobar mediante los “log” que generan, el uso que se a realizado de los datos, como obliga la LOPD, para ficheros de Nivel Alto. Incluso algunos de ellos permiten integrar o modificar módulos, para adaptarlos a la ley.

No tenemos que olvidar, que los datos se han de proteger, por ley y por necesidades de continuidad del negocio, por lo tanto, es importante tener una buena política de usuarios y de copias de seguridad, preferentemente remotas.

Igualmente importante es disponer de antivirus y anti-malware actualizado, ademas de los Fireware o cortafuegos.

Pero todo esto se podría mejorar utilizando autentificación por tarjeta y clave o huella dactilar, monitorización del servidor, etc.

Estas son solo algunas de las claves para cumplir la LOPD de manera sencilla, en cuanto a los equipos y programas informaticos, no nos olvidemos de registrar los ficheros en la Agencia, de las autorizaciones necesarias, de los contratos, del Documento de Seguridad, etc.

Safe Harbor – Protocolo de Puerto Seguro

2009-10-30T14:48:00.000+01:00

Una de las excepciones para la realización de transferencias internacionales de datos, es con las empresas acogidas al Protocolo de Puerto Seguro del Departamento de Comercio de los Estados Unidos. Esto permite realizar tratamientos de datos con empresas autorizadas por este protocolo, sin necesidad de solicitar autorización al Director de la Agencia de Protección de Datos, al disponer de nivel adecuado de protección.

Cada día mas empresas de los Estados Unidos, utilizan este protocolo, para ofrecer servicios en Europa y el resto del mundo. Permitiendo contratar sus servicios, de manera legal y sin autorización previa de la Agencia Española de Protección de Datos.

Pero para verificar que están realmente acogidas a este protocolo, contamos con la pagina web del Departamento de Comercio de los Estados Unidos, donde debemos de comprobar que están realmente acogidas a este protocolo y para cuales de sus servicios.

http://www.export.gov/safeharbor/

No realizar esta verificación, nos puede costar una multa importante y el bloqueo de nuestros ficheros por realizar una Transferencia Internacional de Datos sin autorización, con el problema en la continuidad de nuestras operaciones.

Los Planes de Contingencia

2009-10-16T14:18:00.000+02:00

Lo más importante para cualquier organización, es poder continuar con su actividad si se produce una contingencia. Unas veces es la rotura de un equipo informático, otras veces es el robo/perdida de un ordenador portátil, etc.

Para poder continuar con esta actividad, es necesario tener un Plan de Contingencia, que nos permita prever las actuaciones a realizar, en caso de producirse un problema como los indicados.

Es posible que todas las situaciones no se puedan detallar en el citado plan, pero si que podemos tener una directrices generales e ir ampliando el plan con las circunstancia producidas y sus soluciones, para poder continuar con la actividad en el menor tiempo posible.

¿Alguien se imagina que una gran compañía este sin actividad durante largo tiempo? Estas empresas tienen planes de continuidad del negocio, amplios y muy elaborados, que les permite continuar con la actividad en un periodo de tiempo muy reducido.

Un plan de este tipo, debe empezar por un conocimiento y documentación de los equipos, del software, de las políticas de usuarios, etc.

También ha de contar con un apartado correspondiente a las copias de seguridad, su realización, pruebas de recuperación, etc.

Se han de documentar las incidencias, así como las acciones encaminadas a recuperar la información y plasmarlas en el plan de contingencias.

En definitiva, se trata de realizar un seguimiento y planificación de los protocolos necesarios para continuar con nuestra actividad en el menor tiempo posible, que sera mejorado progresivamente, aprendiendo de las experiencias adquiridas.

Si desea realizar un Plan de Contingencias, que permita la continuidad de su negocio, no dude en solicitar un presupuesto sin compromiso en : informacion@bono-che.es

Las copias de Seguridad de los datos

2009-09-24T10:31:00.000+02:00

Según la Ley Orgánica de Protección de Datos Personales (LOPD) y su reglamento de desarrollo, estamos obligados a realizar copias de seguridad, para los ficheros informatizados de nivel alto, que no se encuentren en la misma ubicación que los ficheros originales, para garantizar la seguridad e integridad de los mismos.

Pero no solo los ficheros con datos personales son importantes en el funcionamiento de una organización, mucha documentación de planificación, marketing, etc. es necesaria para el día a día de las organizaciones.

Para cumplir con esta obligación, pero sobre todo, para garantizar la continuidad en las operaciones, en caso de un siniestro, nosotros recomendamos utilizar un sistema de copias de seguridad remota, aunque se puede realizar de muchas otras formas, esta es sin duda, la más cómoda y fiable.

No todas las empresas que ofrecen servicios de copia de seguridad remota cumplen con la normativa y desde luego, no son todas fiables. Encontrar una empresa adecuada, nos llevo mas de seis meses de búsqueda.

Nosotros, desde hace mucho tiempo, confiamos en nuestro Partners, el cual cumple con todas las medidas de seguridad, con la máxima codificación y encriptación en origen de los datos, copias automatizadas desentendidas, informe diario y discos espejo en los servidores. Ofreciendo servicios desde particulares a grandes empresas y organismos públicos. Todo ello, garantiza un servicio excelente y a los mejores precios.

Para los interesados en este servicio, ofrecemos un mes gratis, para probar sin compromiso. Solo tienen que contactar con nosotros y le facilitaremos una clave y usuario, para realizar la instalación, con la ayuda de los técnicos, en pocos minutos.

Proveedores homologados de SAGE Formacion - Levante

2009-09-15T19:42:00.000+02:00

Desde principios de este mes de septiembre, somos proveedores homologados de SAGE Formacion – Levante, habiendo impartido un primer curso sobre “Aplicación Teórico-Practica de la LOPD”, los pasados días 10 y 11 de septiembre de 2009, en sus instalaciones de Valencia. Siendo la profesora Dña. Beatriz Edo.

Para nosotros, supone un paso más en nuestro afianzamiento y crecimiento, que una gran compañía como SAGE Formacion, haya contado con nosotros para impartir sus cursos.

Con las necesarias carencias de una primera experiencia de este tipo, debida a los problemas de coordinación y a la premura de tiempo para preparar el temario y la documentación necesaria, unido a las vacaciones de agosto, estamos contentos con el resultado, aunque esperamos mejorar en los próximos cursos.

Trabajar para una empresa de estas características, nos permite medir el grado de satisfacción con nuestros servicios, pues la evaluación continua de los alumnos, nos obliga a mantener un nivel elevado y actualizado.

Esperamos continuar y ampliar la oferta ofrecida a esta empresa durante los próximos meses.

Gracias y enhorabuena a los primeros alumnos.

El Ayuntamiento de Granada, los Hoteles y las multas de tráfico

2009-08-28T19:36:00.000+02:00

Durante este mes de Agosto, he pasado nuevamente unos días por la ciudad de Granada, preciosa y musulmana.

Hacia unos años que no visitaba la ciudad y me he encontrado con todo el centro histórico cortado al trafico particular, a excepción de Bus-Taxi y Hoteles.

Como se controla todo esto, pues con cámaras de seguridad, que reconocen las matriculas de los vehículos y multan a quien no este registrado en un hotel, pero a cada hotel solo le autorizan a llegar por determinadas calles.

Para evitar la multa, tenemos que indicar a los encargados del hotel nuestro vehiculo, el titular del vehiculo y ellos lo introducen en una aplicación informática, junto a los días de estancia. Todo ello si preguntas…

La LOPD esta para cumplirla, pero en este caso, no hay un triste documento donde nos informen del titular del fichero, donde ejecutar nuestros derechos, etc. Todo esta basado en la buena fe y el miedo a las multas.

Esperamos que para la próxima visita ya existan protocolos de información a los interesados.

El verano y los Datos Personales

2009-08-06T12:53:00.001+02:00

En la época estival, disfrutamos de un merecido descanso, con el consiguiente viaje en el mejor de los casos y la relajación en los usos y costumbres.

En muchísimas ocasiones, esta relajación, es aprovechada por comerciantes, empresarios y profesionales, para conseguir aumentar sus bases de datos, con nuestros datos personales.

En el mejor de los casos, incluso nos informaran del uso que darán a nuestros datos, a quien serán comunicados o cedidos y del titular del fichero, con sus datos para poder ejercitar nuestros derechos.

En otros casos, como ciertas discotecas, tiendas o vendedores, simplemente intentaran conseguir nuestros datos para avisarnos de fiestas, regalos, etc., para su posterior venta o utilización, sin las menores medidas de seguridad y sin ningún tipo de información, lo que conllevara un bombardeo constante de ofertas, promociones o encuestas, sin ningún tipo de control y que no sabremos de donde sacaron esos datos.

Recordamos que esas prácticas son ilegales y pueden ser denunciadas ante la Agencia Española de Protección de Datos, pero siempre es mejor “prevenir que curar” y por tanto no entregar nuestros datos personales a cualquiera y sin unos mínimos que garanticen la seguridad de esos datos, su uso y la posibilidad de ejercitar nuestros derechos.

Feliz Verano a todos.

Lista Robinson

2009-07-20T19:19:00.000+02:00

La Federación de Comercio Electrónico y Marketing Directo, ha desarrollado un servicio de Lista Robinson dirigido tanto a los ciudadanos, como a las empresas, con el fin de cumplir con la normativa de protección de datos.

Los ciudadanos, pueden darse de alta en dicha lista, para no recibir información comercial de empresas con las que no mantenga o no haya mantenido relación comercial, por ningún medio.
Para las empresas, obliga a consultar la citada lista, cuando se realicen campañas publicitarías para cuyo desarrollo sea necesario tratar datos:
• que figuren en fuentes accesibles al público o
• en ficheros de los que no sea responsable la entidad beneficiaria de la publicidad (anunciante)
Existen diferentes formas de consulta, unas gratuitas y de pago, para que las empresas puedan cumplir con la Ley Orgánica de Protección de Datos (LOPD) y su reglamento.

El envío de publicidad, a los ciudadanos incluidos en esta Lista Robinson, puede traer grabes sanciones económicas por parte de la Agencia Española de Protección de Datos.

Respetemos los derechos de los ciudadanos y consultemos previamente este fichero, antes de realizar envíos publicitarios.

Integración con Abogados Edo

2009-07-06T11:09:00.000+02:00

Desde nuestro nacimiento, estamos colaborando estrechamente con el Despacho Jurídico Abogados Edo, lo que nos ha permitido mejorar nuestros productos y servicios, gracias a su colaboración.

Fruto de esta relación, estamos en conversaciones para la integración dentro de la estructura del citado despacho, encabezado por la abogada Dña. Beatriz Edo Alfonso, que esperamos sea culminado pasado el verano.

Una vez iniciados los tramites legales, procederemos a comunicar los cambios a la Agencia Española de Protección de Datos e informaremos a los titulares de los datos de los nuevos responsables de los ficheros y la forma de ejercitar sus derechos ARCO.

Esta integración no supondrá cambio en la realización de nuestros trabajos y en todo caso nos permitirá mejorar nuestros productos y servicios.

En ningún caso, desaparecerá nuestra pagina Web, nuestro blog o cambiaran nuestras cuentas de correo electrónico, pues mantendremos una cierta independencia dentro de la organización y nuestra marca como signo distintivo de nuestros productos. Si cambiaran los datos de facturación y el responsable del fichero.

Mantendremos informados a nuestros clientes, proveedores y demás interesados cuando se produzcan los cambios y esperamos sean bien recibidos y nos permitan conseguir los objetivos marcados con esta integración.

Los ticket de El Corte Ingles

2009-06-23T18:50:00.000+02:00

En alguna ocasión, una de las mayores empresas de España, El Corte Ingles, ha sido multada por la Agencia Española de Protección de Datos.

Uno de los principales problemas que tenían, era la no información a los usuarios de destino de sus datos personales y de los derechos que tiene, por ejemplo, al realizar una compra con tarjeta.

Desde hace un tiempo, los tickets de caja de este establecimiento, cumplen con la obligación de informar al usuario, así como los datos necesarios para ejercitar sus derechos. Incluso han utilizado este espacio como soporte publicitario.

Cualquier comercio, debería de informar a sus clientes sobre el uso de sus datos personales, así como de los derechos que le asisten y la manera de ejercitarlos. Si una gran empresa, ha tardado un tiempo en adaptarse a la ley, esperamos que sirva de ejemplo para el resto de comercios, que han de cumplir con la Ley de Protección de Datos, no solo en este punto, sino en todo lo que implica.

A ninguna empresa le interesa pagar una elevada multa, tampoco a las grandes, pero desde luego, una pequeña o mediana empresa, puede terminar de hundirse si es multada por la Agencia Española de Protección de Datos. Animamos a todas a cumplir con la legalidad vigente.

El consentimiento verbal con verificación de tercero

2009-06-03T19:40:00.000+02:00

La Resolución de 16 de abril de 2009, de la Presidencia de la Comisión del Mercado de las Telecomunicaciones, por la que se hace publica la Circular 1/2009, por la que se introduce el consentimiento verbal con verificación por tercero en la contratación de servicios mayoristas regulados de comunicaciones fijas, así como en las solicitudes de conservación de numeración, nos hace reflexionar sobre esta figura, que empiezan a utilizar ciertas empresas y su problema con la Protección de Datos Personales.

Con esta resolución se establecen las medidas necesarias para la conservación de numeración o portabilidad, tanto de números fijos como móviles, previo consentimiento verbal del abonado, manifestado telefónicamente a través de una entidad verificadora.

Estas entidades verificadoras, trataran nuestros datos personales, por lo tanto, han de cumplir con la LOPD, en lo referente a los datos del contrato y datos que le concierne. Esto se ha de realizar de manera voluntaria, libre, inequívoca, especifica e informada, autorizando la cesión de los datos del operador con quien se tiene contratados los servicios, hacia el nuevo operador, con el exclusivo fin de la portabilidad.

Esperamos que las operadoras y las empresas verificadoras, se tomen en serio la protección de datos personales, aspecto cuestionable a día de hoy. Además, esperamos que la Agencia Española de Protección de Datos, vele por el cumplimiento de estos requisitos.

Cursos gratuitos LOPD - Tripartito

2009-05-17T17:09:00.000+02:00

En los últimos meses, se han multiplicado las consultas recibidas en relación a “cursos gratuitos”, para cumplir con LOPD.

Parece que el Tripartito, del que forman parte los Sindicatos, organiza cursos de formación, que están siendo vendidos con la falsa promesa de cumplir con la LOPD en las empresas, gracias a estos cursos.

No queremos decir que la formación no sea necesaria, que lo es, pero con estos cursos, realizados por empleados a cargo de los fondos para formación continuada, las empresas no cumplen con la LOPD.

Queremos recordar que el obligado a cumplir con la Ley de Protección de Datos, es el titular de los ficheros, en este caso la empresa. Que ha de adaptar sus medidas técnicas y organizativas, además de dar de alta en el Registro de Ficheros de la Agencia de Protección de Datos y tener un Documento de Seguridad que recoja las medidas adoptadas, según el tipo de datos personales y el nivel de seguridad que les corresponda.

Estos cursos, pueden servir para formar a algún trabajador, que comprenderá mejor y aplicara por tanto mejor, las medidas necesarias, pero en ningún caso pueden sustituir a todo lo anterior.

Esto mismo, sucede con algunos programas informáticos, que hacen creer que se cumple con la LOPD, cuando en realidad, solo se trata de un programa que genera un Documento de Seguridad Estándar y permite gestionar los derechos ARCO, pero en ningún caso se cumple solo con eso.

La mejor manera de cumplir con la LOPD es contar con un profesional que realice un trabajo a la medida de las necesidades de la organización, tanto a nivel informático, como de documentación, contratos, formación, etc.

Teniendo en cuenta las posibles multas de la Agencia Española de Protección de Datos, queremos recordar que “en ocasiones, lo barato puede salir muy caro…”.

Nueva Pagina Web

2009-05-08T19:18:00.000+02:00

Desde hoy puedes visitar nuestra nueva página Web en www.bono-che.es

Estamos cambiando nuestra imagen, más moderna y clara, que esperamos guste y se note en nuestras comunicaciones.

Una de las partes más importantes de este cambio de imagen, es la ventana a Internet, es decir nuestra pagina Web.

Ahora es más intuitiva, clara y fácil de usar. Esta pensada para todo tipo de navegadores, pero sobre todo, para los de última generación.

Además sirve de muestra de lo que se puede hacer con el alojamiento de 1& 1, líder mundial de Hosting y con el que colaboramos activamente. Su editor Web es muy completo, lleno de páginas de ejemplo, pero a la vez te permite insertar código propio. Pero lo mejor de todo es que esta todo incluido en el precio. Aprovecha las ofertas.

También hemos ampliado nuestros servicios, como la sección de “Otros Servicios”, donde incluimos la Formación y el Departamento Jurídico. Y hemos mejorado el apartado de Boletines Informativos.

Un gran numero de novedades, que te invitamos a descubrir, en www.bono-che.es

Gracias.

La Memoria 2008 de la AEPD

2009-04-21T19:38:00.000+02:00

La Agencia Española de Protección de Datos (AEPD), tiene colgada en su pagina Web, la memoria anual 2008, que recomiendo ver, para hacerse una idea de cómo esta todo lo relacionado con la LOPD, LSSI y con la AEPD en particular.

Me parece destacable, que se valore altamente el tratamiento que hacen de sus datos personales:

-58,8 % Administración Publica
-55,6% Hospitales
-53,3% Bancos

En cambio, creen de baja seguridad a los comercios, en un 31,3%.

Es importante destacar, que el 68,2% ha recibido llamadas o SMS en su teléfono móvil con fines publicitarios, siendo del 80% los que lo reciben como “Spam” en su cuenta de correo electrónico.

Para nosotros, estos datos solo vienen a reflejar el bajo nivel de seguridad real que se aplica en las empresas y organizaciones españolas, siendo solo la administración, los hospitales y los bancos, los que nos dan sensación de seguridad.

Parece que el único camino es la multa o sanción, que se han incrementado en un 45,4%, siendo el importe de las sanciones un 15% superior al año anterior. Destaca también el número de resoluciones, que aumenta en un 94,1 %.

Como siempre recomendamos implantar los sistemas adecuados para cumplir con la LOPD y con la LSSI, pero además, utilizarlos de manera correcta y no realizar practicas que puedan ir contra estas leyes.

LOS PLANES DE CONTINGENCIA

2009-04-09T10:36:00.000+02:00

La LOPD nos obliga a custodiar y hacer buen uso de los datos personales. Pero en una organización hay más que datos personales, tan importantes o más que estos.

Proteger nuestros datos, sobre todo los informatizados, es importantísimo, para garantizar la continuidad de las actividades.

Ante una catástrofe, como puede ser un incendio, un robo, o la simple rotura del disco duro donde se guardan los ficheros de la organización, se nos cae el mundo encima. No sabemos que información hemos perdido, si las copias de seguridad estarán bien, cuanto tiempo tardaremos en poder seguir con nuestras actividades, etc.

Para solucionar estos casos y muchos otros que se pueden plantear, es necesario tener un plan de actuaciones o un protocolo a seguir. Nosotros mismos, hemos sufrido el incendio de nuestro servidor local, pero gracias a nuestro plan de actuaciones y nuestro sistema de Copias de Seguridad Remotas, en un solo día, estamos operativos, aunque se al 50% mientras nos entregan el servidor nuevo.

Esto demuestra que un programa informático para cumplir con la LOPD o un simple curso gratuito para un empleado, no garantizan la integridad de los datos, no solo los personales. Nuestro trabajo es implementar los protocolos necesarios para cumplir con la LOPD y la LSSI, pero además han de servir para poder actuar ante situaciones extremas, para que la influencia en nuestras actividades quede minimizada, garantizando su continuidad en un espacio de tiempo razonable.

Disculpas a los suscritos a nuestro Boletín Informativo (LOPD), que lo recibirán la próxima semana.

Gracias a Javier y todo el equipo que ha hecho posible recuperar nuestros ficheros en un tiempo record.

De Fallas, Gallatas y Hogueras

2009-03-19T12:39:00.000+01:00

Estamos en plenas fiestas de Fallas y La Magdalena, con sus Organizaciones Falleras y de Gallatas, pero próximamente serán las Hogueras de Alicante.

Todas estas organizaciones, manejan gran número de datos personales y por tanto les obliga la Ley de Protección de Datos (LOPD), pero no siempre cumplen con esta ley, unas por desconocimiento, otras por problemas económicos, mas agudizados últimamente, otras por falta de tiempo...

Aunque resulte paradójico, que se inviertan grandes cantidades de dinero, por ejemplo en las Fallas de Categoría Especial, pero se tenga tan abandonada la parte administrativa en estas organizaciones. Todo esto se complica más, dada la rotación en los cargos, generalmente gratuitos o que cuestan dinero, que obliga a dedicar gran número de horas a los gestores y que con la continuidad de actividades a lo largo del año, hacen difícil el ponerse a solucionar el asunto de la protección de datos…

Queremos recordar, que las multas de la Agencia Española de Protección de datos son muy elevadas, por lo tanto, siempre resulta mas económico cumplir con la ley, que pagar una sanción. Estas sanciones, pueden ser consecuencia de denuncias procedentes de muchos sitios, incluidos los propios socios descontentos…

Animamos a los nuevos Presidentes a contar con nosotros, para que su organización cumpla con la LOPD.

Aprovecho la ocasión, para felicitar a todos los que en estos días es su Santo, así como a los Falleros y Gallateros, que están disfrutando de sus fiestas y haciendo disfrutar a todos los visitantes. Así mismo, a todos los padres, en este día tan especial para ellos.

Felicidades Papa, te seguimos queriendo y recordando cada día.

Vigilancia en los Taxis

2009-03-02T20:47:00.000+01:00

Recientemente, se esta poniendo de moda en las grandes ciudades, que los taxistas instalen cámaras para garantizar su seguridad.

En Valencia, uno de ellos, ha colocado una cámara fotográfica y un cartel que anuncia que se realizara una fotografía del cliente. Esta fotografía no es a todos los clientes, solo a los que a juicio del taxista son un potencial riesgo, mediante un pulsador.

Por supuesto que las cámaras de seguridad son un valioso instrumento para garantizar la seguridad de los vienes y las personas, pero es necesario seguir ciertas normas, marcadas por la LOPD.

- La cámara ha de ser instalada por una empresa de seguridad.
- Se ha de informar a los usuarios mediante un cartel, del que existe un modelo oficial, donde se informe además de los derechos del cliente.
- Se ha de tener a disposición de los clientes un documento informativo donde se indique quien es el responsable del fichero, el responsable de tratamiento, así como donde poder ejercitar sus derechos.
- Se han de registrar los correspondientes ficheros en la Agencia Española de Protección de Datos.
- Se ha de disponer de un documento de seguridad, con las medidas tecnicas y organizativas, que garantizan el correcto uso de la información de los ficheros.
- Se han de aplicar las normas marcadas en el anterior documento de seguridad.

Estas medidas, sirven no solo para los taxistas, también para las comunidades de vecinos, las empresas o cualquier organización.

Desde Bono-Che SL, podemos ayudarle a cumplir con la ley.

Estándares mínimos de privacidad internacional

2009-02-16T18:05:00.000+01:00

El pasado 12 de enero, la Agencia Española de Protección de Datos (AEPD) organizo una reunión con los máximos responsables y autoridades de Protección de Datos, representantes del Consejo de Europa y el Supervisor Europeo de Protección de Datos. Siendo la anfitriona la Directora de la Agencia Catalana de Protección de Datos.

Se ha realizado un estudio comparativo de las diferentes legislaciones, en esta materia, para realizar un documento de aplicación universal, en el que se recojan los mínimos exigibles, pero respetando la legislación ya vigente en diferentes países.

Se intenta respetar los principios de universalidad, legalidad, transparencia, lealtad y proporcionalidad del uso de los datos personales, pero teniendo en cuenta las peculiaridades del comercio internacional.

También ha contado con la participación de empresarios, instituciones y representantes de la sociedad civil, que han aportado su visión y su granito de arena a este proyecto internacional.

Este documento, será sometido a aprobación en Madrid, el próximo mes de noviembre, dentro de la 31ª Conferencia Internacional de Privacidad y Autoridades de Protección de Datos, que organiza nuestra AEPD y a la que esperamos poder asistir parte del equipo de Bono-Che SL.

Desde nuestra empresa apoyamos este tipo de iniciativas, que serian un gran avance en la materia de protección de datos, a nivel internacional y por lo tanto un logro importante para la AEPD y por ende para toda España.

2ª Sesión Anual abierta de la Agencia Española de Protección de Datos

2009-02-02T12:07:00.000+01:00

El pasado 28 de Enero de 2009, se ha celebrado la 2ª sesión anual abierta, celebrada por la Agencia Española de Protección de Datos, en las instalaciones de la Universidad Carlos III de Leganes (Madrid).

Como es norma en nuestra empresa, hemos asistido todos, para mantener el contacto con los integrantes de la Agencia y con los demás profesionales del sector, pues creemos imprescindible estar en todos los eventos relacionados con la protección de datos.

Este año, si ha abierto las jornadas el Sr. Ministro de Justicia, D. Mariano Fernández Bermejo, que aprovecho la presencia de la prensa para hacer un poco de política contra el gobierno de la comunidad de Madrid.

Pero el punto importante fue la presentación de la Guía de Videovigilancia, similar a otras que ya tiene la agencia y que están disponibles en www.bono-che.es dentro del apartado de Novedades.

Esta guía trata de aclarar los puntos mas conflictivos de una practica habitual en muchos ámbitos, que enta regulada, pero que el desconocimiento hace que no sea aplicada correctamente en numerosas ocasiones, lo que acarrea la consiguiente sanción económica por parte de la AEPD.

Un punto fundamental, es que la instalación ha de ser realizada por una empresa de seguridad, legalmente habilitada. Partiendo de esta premisa, se ha de cumplir, entre otros, los siguientes requisitos:

- Colocar los carteles informativos oficiales, que están disponibles en la Web de la AEPD.
- Si se graban las imágenes o el sistema permite su grabación, se han de registrar los ficheros en el Registro de la Agencia Española de Protección de datos.
- Hay que tener impresos informativos de los derechos a disposición de los interesados.
- Las imágenes no se pueden mantener durante más de un mes.
- Hay que instalar las cámaras de forma que no invadan la intimidad de las personas. Y en los casos en que sea imprescindible que se visualicen los lugares públicos, como la calle, se intentara que el encuadre de la imagen invada lo mínimo posible los lugares públicos.
- En los espacios públicos de uso privado, como baños o vestuario, no es admisible la instalación de cámaras. Así mismo, no es admisible la grabación de conversaciones.

En definitiva, unas jornadas que están empezando a convertirse en un clásico, donde siempre se aprende algo, gracias al trabajo de los miembros de la AEPD.

Nueva ley de Asociaciones de la Comunidad Valenciana

2009-01-15T12:42:00.000+01:00

La Generalitat Valenciana, aprobó el pasado 18 de noviembre de 2008, la Ley 14/2008 de Asociaciones de la Comunitat Valenciana. Esta ley entra en vigor a los cuatro meses de su publicación, es decir el 25 de Marzo de 2009.

Esta ley se viene a sumar a otras en relación a las asociaciones, pero en lo que ataña a la LOPD, es un paso más, para aclarar que las asociaciones han de cumplir con la Ley Orgánica de Protección de Datos.

En su Artículo 9 dice:
1. Todos los ficheros de la asociación deberán cumplir la normativa de protección de datos de carácter personal.
2. La Generalitat adoptara medidas de promoción y difusión de la normativa de protección de datos de carácter personal en el ámbito de las asociaciones para facilitar su conocimiento de los aspectos legales y técnicos de la normativa y favorecer así su cumplimiento.

Esperamos que todas las asociaciones cumplan la normativa de la Comunidad y la Generalitat impulse las medidas necesarias.

Nosotros podemos ayudar a las asociaciones a cumplir con la ley a un precio especial, como ya hemos hecho con muchas de ellas.

Pueden solicitar informaciones en la cuenta de correo información@bono-che.es o desde nuestra pagina Web www.bono-che.es

Las Asociaciones y la AEPD

2009-01-07T11:15:00.000+01:00

La Agencia Española de Protección de Datos (AEPD), dentro de sus campañas sectoriales, esta realizando inspecciones de oficio a las ONG, Fundaciones y Asociaciones.

Pero además, como a todas las organizaciones que manejan datos personales, dentro de la tutela de derechos, realiza inspecciones en los procedimientos sancionadores promovidos por los interesados.

Uno de los últimos casos sancionados, es una Sociedad Deportiva, multada con 601,01 € por no tener inscritos los ficheros de datos en el registro de la agencia y otra de 601,01 € por no guardar el deber de secreto.

Esta claro, que cualquier asociación, de tipo que sea, guarda datos personales de sus socios y por tanto cubierto por la Ley Orgánica de Protección de Datos, que obliga entre otras cosas, a inscribir los ficheros en la Agencia Española de Protección de Datos.

Para la cuestión de la multa por omisión del deber de secreto, la asociación había colgado del panel informativo un listado con los socios que habían firmado una carta contra el presidente de la sociedad deportiva.

Las ONG, Fundaciones y Asociaciones, a día de hoy, no consideran importante la protección, muchos piensan que al no ser empresas no están obligados, pues son actividades privadas, pero este ejemplo clarifica sobradamente el asunto.

No cumplir con la ley les puede suponer unos daños económicos irreparables, dada las cuantías de las multas, que en el caso del ejemplo han sido las mínimas. Animamos a los miembros de las asociaciones para que cumplan con la ley, gracias a nuestros precios especiales para ellos.

Multa a Correos de España

2008-12-16T10:20:00.000+01:00

La Agencia Española de Protección de Datos (AEPD), ha multado recientemente a Correos de España, con 6.000,00 €, según la información facilitada por ellos mismos en su pagina Web.

El caso concreto es el siguiente:

El consulado Argentino, remite por “Postal Express” un pasaporte a una ciudadana argentina, con residencia en España. Este paquete es retirado por otra tercera persona, que finalmente lo devolvió al darse cuenta del error, en la oficina postal.

Como la citada ciudadana argentina, cuando fue ha recoger el paquete, se la informo que ya había sido retirado, puso una denuncia, que finalmente sirvió para la imposición de la multa de 6.000,00 € a esta empresa. Basándose en la no comprobación de los datos del interesado en el “Aviso de Llegada”, ni en el propio paquete.

Esperemos que nuestros queridos carteros, empiecen a tomar en serio su trabajo, dadas las consecuencias que tienen para la empresa. Que si bien es cierto que gran número de ellos son grandes profesionales, en ocasiones, nos encontramos con cartas de otra persona en nuestro buzón o simplemente, nos pierden o entregan a otros nuestras cartas. Por desgracia, las multas no suelen perderse.

Hace años, cuando Correos era publico, no habría sido sancionada, pero esta es otra de las ventajas de las privatizaciones.

Problemas en la Agencia Española de Protección de Datos

2008-12-03T18:38:00.000+01:00

La Agencia Española de Protección de Datos (AEPD), es el organismo encargado de velar por el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD), su reglamento de desarrollo y junto a los Tribunales va configurando el ordenamiento jurídico para estos supuestos.

Pero como decía Don Quijote: “… con la Iglesia hemos topado, Sancho.”, la apostasía esta siendo el problema mayor que se ha encontrado la AEPD desde su creación.

La LOPD, es muy genérica en lo que se considera un Fichero, cuestión habitual en las leyes españolas, pero por este motivo, queda a la interpretación de los jueces, si el libro de bautismo es un Fichero, o solo una sucesión de datos, sin posibilidad de tratamiento.

En nuestra opinión, los antiguos libros de bautismo, es difícil de considerarlos un fichero de datos personales, pues cada parroquia realizaba apuntes según la fecha de la celebración del bautismo, pero en muchas ocasiones también se apuntaban la realización de otros sacramentos, en el mismo libro, lo que hace muy difícil localizar cualquier dato, si no conocemos la fecha. Esto lo hemos sufrido algunos en pequeñas parroquias de pueblos, donde necesitábamos un certificado de algún familiar y han tardado meses en encontrarlo.

También es cierto, que en la actualidad, muchas parroquias usan ordenadores, si bien cada una con distinta implantación, dependiendo incluso del obispado a la que pertenecen. Pero estos datos, si pueden sen considerados, en nuestra opinión, fichero. Cuestión que defiende la AEPD.

Pero el Tribunal Supremo y el Tribunal Constitucional, no lo tienen tan claro y parece que consideran lo anteriormente expuesto como un todo, por lo tanto no consideran un fichero los libros de bautismo y por tanto no considerar que sea posible apostatar, que no es mas que ejercer el derecho a cancelar nuestros datos en el fichero de la Iglesia.

Habrá que esperar a las sentencias que están pendientes, para ver cual es la doctrina definitiva a adoptar. Así se arreglara el problema que tiene ahora la AEPD.

RESUMEN DE LA SERIE SEGURIDAD INFORMATICA

2008-11-27T10:52:00.000+01:00

Como se ha podido ver a lo largo de estos artículos, la seguridad informática es muy importante, no solo para cumplir con la LOPD, sino como garantía de funcionamiento de nuestra organización, que a día de hoy se quedaría parada si sufriera un problema informático.

Pero la seguridad, no es solo esto, hay muchas mas cosas, que un profesional puede implementar, por lo que recomendamos que se tenga un informático de confianza, para realizar estas tareas.

También es importante, aunque no hemos hablado de ello en esta serie, las copias de seguridad, que permiten mantener nuestros datos ante posibles errores lógicos o físicos de los equipos informáticos.

Es importante contar con una buena política de copias de seguridad, incluso contratar un servicio especializado que nos realice las copias a un servidor externo, pero siempre que cumpla con las medidas de seguridad que marca la LOPD.

Desde www.bono-che.es, podemos ofrecerles un servicio que cumple todos los requisitos necesarios y a un precio razonable.

Incluso seria conveniente implementar un plan de contingencias, para poder seguir trabajando, ante desastres como un incendio, que pueden paralizar nuestra actividad e incluso hacer desaparecer nuestra organización.

Esperamos que esta serie haya sido de su interes.

La seguridad informática (VI)

2008-11-11T19:08:00.001+01:00

Ya tenemos nuestros equipos correctamente configurados, nuestra red funciona de modo seguro, etc. Pero la seguridad nunca es completa y es importante mejorarla con unas pequeñas pautas.

4.- El programa explorador de Internet.

No recomendaremos ninguno en especial, pues los hay magníficos tanto de pago como gratuitos, pero si deberíamos tener en cuenta ciertas cosas.

Ha de mantenerse actualizado, pues gran número de problemas de seguridad se producen por estos programas.

Ha de disponer de opciones avanzadas, que eviten la apertura de pantallas emergentes, la redirección a páginas, la suplantación de direcciones, etc. Estas cuestiones las realizan la mayoría de los exploradores o en su defecto algunas barras de tareas instalables, como la de los buscadores más conocidos. Aunque se puede mejorar con programas específicos.

Es importante tener en cuenta, cuando las páginas son seguras o no lo son, pues nunca deberíamos mandar información personal por páginas no seguras.

5.- El correo electrónico.

A día de hoy, todo el mundo tiene cuenta de correo electrónico, facilita el trabajo, es rápido y permite saber si nuestro interlocutor ha leído el mensaje.

Esto tiene el inconveniente del gran número de correos no deseados o spam, que recibimos, por tanto deberemos tener un filtro anti-spam en nuestro lector de correos.

También es recomendable no leer o guardar correos de remitentes desconocidos, así como abrir los archivos adjuntos, menos aun si no los hemos solicitado.

Si sus correos o los archivos que adjunte tienen información personal, deben enviarse codificados o encriptados.

Por ultimo, ninguna empresa y menos su banco, le pedirá que reenvíe su clave personal, o no es normal que nos toque un sorteo en el que no participamos. No conteste estos correos y presente una denuncia en la sección de delitos informáticos de la Guardia Civil.

Otra mirada a la LOPD

2008-10-27T19:00:00.000+01:00

Parece que la protección de datos, esta calando entre la sociedad actual, ahora la televisión e incluso el tetro, nos dan su visión de este asunto.

Ayer domingo 25 de octubre, en Cuarto Milenio (Canal Cuatro TV), Iker Jiménez y su grupo de tertulianos, trataron el asunto, en relación a los videos colgados en Internet.

Pero ayer, me gusto ver la mirada del teatro, sobre este tema. En la sala “Carme Teatre” (Cl Gutenberg, 12 Valencia (46003) Valencia) asistí a la representación de la obra “Antigona 18100-7”, una adaptación de Aurelio Delgado sobre textos de Sófocles, interpretada por Merce Tienda, Paula Miralles, Domingo Chinchilla y Ricardo López Ivars.

La obra teatral actualiza el mito de Antigona, “una mujer vigilada…” según los carteles, con la participación del público, que intercambia opiniones con los actores, el director… Es una obra impactante, con una muy lograda escenografía y puesta en escena. Se nota el trabajo de los actores y el director, en especial de las dos actrices.

Sin entrar en más valoraciones o críticas, quiero destacar la mirada que hace la obra sobre la video vigilancia, preguntándose: ¿Nos sentimos vigilados?, ¿Estamos protegidos frente al uso de las imágenes?, ¿Hay que vigilar tanto a las personas?, ¿Cómo nos vigilan desde los satélites?, ¿Google?, ¿Hay que legislar sobre todas las cosas?, ¿Qué ha pasado con el Derecho Natural versus Poder Legislativo?.

En definitiva, merece la pena ir a ver la obra, que se representara en salas alternativas de toda España, para ver una nueva versión actualizada de un mito, que trata sobre asuntos que todos los días nos preocupan y sobre los que trabajamos.

Fdo. Gonzalo Martín.

PD. Animo a participar con comentarios a todos sobre este asunto.

La seguridad informática (V)

2008-10-16T14:16:00.000+02:00

Existen diferencias en cuanto a la conexión de equipos a Internet y en una red local, así como en el tipo de conexiones para realizarla, pero para simplificar englobaremos todo en uno.

4.- Los modem, router, hub, etc.

Podemos diferenciar en un principio, dos tipos de conexiones, según sean físicamente, es decir, por cable o wifi.
Las primeras se realizan entre equipos mediante tarjetas Ethernet y con el periférico de conexión a Internet por medio un cable. Son generalmente seguras si están bien configuradas. En ocasiones utilizan un hub o concentrador, para unir los diferentes equipos y compartir la conexión a Internet.
Las conexiones wifi, con menos seguras, pero aplicando todos los protocolos de seguridad, codificando la red, etc. puede lograrse un nivel aceptable.

En cuanto a la conexión a Internet, podemos utilizar diferentes periféricos, como modem o router, por cable o wifi. Estos dispositivos tienen un firewall y un software de gestión, que es importante configurar siguiendo las instrucciones del fabricante y del proveedor de la conexión.

Como medidas de seguridad, para estos dispositivos, recomendamos tener actualizado el sofware del modem o router. Codificar las comunicaciones entre equipos y por Internet, especialmente si son wifi. Utilizar las direcciones MAC para restringir el uso a las tarjetas de nuestros equipos y ocultar la red a otros usuarios.

Además, no olvide cambiar los usuarios y claves por defecto, pues cualquier usuario que sepa que equipo utiliza podría hacerse pasar por administrador y cambiar las configuraciones, teniendo acceso total a su red.

En cuanto a las conocidas como “Foneras”, donde compartimos nuestra conexión wifi gratuitamente con otros usuarios, no estamos en contra, pero las restringiríamos a las conexiones particulares.

La seguridad informática (IV)

2008-10-02T21:34:00.000+02:00

Antes de conectar los equipos en red, creemos importante configurar un sistema de seguridad para virus, malware, etc.

3.- Los antivirus, firewall, etc.:

Existen gran número de casos que pueden afectar a la seguridad de los equipos, aunque los mas conocidos son los “virus”, dentro de estos existen muchos tipos, aunque también existe el spyware, malware, etc. incluso podríamos considerar el spam un problema de seguridad.

Como primera medida de seguridad en este campo, los sistemas operativos disponen de un Firewall, o cortafuegos, que se suele actualizar con las actualizaciones automáticas. Pero hay un gran número de fabricantes que nos proporcionan diferentes soluciones software similares o mejores que las del propio Windows.

El antivirus, es obligatorio en todos los equipos, siendo necesario que se actualicen a diario automáticamente, para poder responder a las ultimas versiones de cualquier virus, troyanos, etc. Por el precio de un buen antivirus, podemos evitar perder toda la información de nuestros equipos, lo que nos sale muy barato.

Las últimas versiones de los antivirus más utilizados, además de un gran número de todo tipo de virus, detectan software espía o spayware e incluso spam. Todo esto es conocido como malware o software mal intencionado.

Aunque existen programas antivirus gratuitos, el precio de las mejores versiones comerciales, generalmente para mas de un equipo, no es elevado. Nosotros recomendamos comprar y actualizar uno de cualquier fabricante reconocido, que disponen de equipos especializados y de alerta en todo el mundo.

Recuerda escanear, con todas las opciones posibles, para comprobar la memoria y todos los discos duros, nada mas instalar el antivirus. Así mismo, hay que comprobar los CD, DVD, disquetes, lápices USB, correos electrónicos, etc. antes de abrirlos en el equipo.

También es importante saber que la mayoría de malware es distribuido en archivos que se intercambian vía FTP, e-mule, etc. Si tu equipo es de trabajo, no juegues con el…

La seguridad informática (III)

2008-09-16T12:25:00.000+02:00

Una vez configurado todo el sistema de usuarios, en cada PC, tendremos que asignar los periféricos.

2.- Los periféricos:

Existen gran numero de periféricos, desde el teclados, el ratón, etc. pero esos no tienen mayor importancia para nuestro sistema en materia de seguridad. Los que si pueden tener ciertas repercusiones son las impresoras, los escáner y los lectores de tarjeta o de huella dactilar.

Podemos diferenciar entre los que están en modo local y los que están compartidos en red. Los primeros solos son utilizados por el ordenador en el que están conectados, mientras que los segundos, los podemos compartir con otros usuarios.

Cuando se comparte un recurso, como es un periférico, es importante analizar previamente si de verdad es necesario que este compartido, así como si es viable, pues no se debe compartir, por ejemplo, una impresora que se encuentre en otra planta del edificio, pues no es posible retirar los documentos impresos con la suficiente rapidez coma para garantizar que no son copiados o vistos por personas no autorizadas.

También es importante no compartir una sola impresora, con muchos PC, pues puede acarrear cuellos de botella, que ralenticen todo el sistema, además de provocar problemas en las colas de impresión. Si su impresora o multifunción no esta especialmente pensada para su uso en Red, no debería de compartirla con mas de cuatro o cinco usuarios, pero siempre se puede empezar por dos o tres usuario y comprobar como se comporta, añadiendo usuarios poco a poco.

Si necesita una impresora especifica, como por ejemplo, una impresora matricial de carro ancho, para imprimir ciertos documentos, nosotros recomendamos no compartirla.

En cuanto a los escáner no suele ser muy útil compartirlos si no se encuentran cerca del equipo, pues requiere continuos desplazamientos de un sitio a otro.

Los lectores de huella dactilar, del ojo, etc. son mecanismos que aumentan la seguridad informática, garantizando que los accesos son realizados por la persona autorizada, gracias a la lectura de parámetros biológicos únicos, por lo que son muy recomendables utilizarlos. Suelen estar conectados en modo local.

Un sistema de huella dactilar, se esta instalando en muchos lugares de trabajo, como método para fichar y controlar los horarios de trabajo, ya que impide la suplantación de la persona, cosa habitual en ciertos organismos, donde fichaban con la ficha, tarjeta o clave de otra persona.

Los archivadores de CD-DVD, es un dispositivo que también ha de ser configurado respetando las medidas de seguridad y teniendo especial cuidado si se comparten, pues deberíamos encriptar también los CD o DVD que almacenan para impedir su uso por otro usuario. Nosotros no recomendamos compartirlo, si bien existen modelos especialmente preparados para ello, como los utilizados en emisoras de radio, TV, etc. de gran coste y con mantenimiento especializado.

Existen más tipos de periféricos, generalmente muy específicos, como joystick, tarjeta digitalizadora, etc., que normalmente no afectan a la seguridad.

La seguridad Informática (II)

2008-09-03T20:13:00.000+02:00

Lo primero que tenemos que configurar correctamente es el sistema operativo, como ya explicamos.

Una vez configurado para que las actualizaciones automáticas se realicen en el equipo, tenemos que configurar los usuarios, que serian el primer anillo de seguridad.

Tenemos que diferenciar las labores de Administrador del equipo y las de los usuarios. Aunque solo lo utilice una persona, se han de crear dos cuentas de usuario, una con categoría de Administrador, para realizar las tareas de mantenimiento y administración, por lo tanto con control total sobre el equipo y su configuración.

La otra cuenta, será de usuario y con privilegios restringidos, pues para el trabajo diario no es necesario más. En todo caso, para casos concretos y específicos, se pueden utilizar las políticas de seguridad de Windows, que aunque complejas son suficientemente eficientes o programas especiales como Windows Steady State.

Por supuesto que cada usuario tendrá una clave personal asignada, que solo cambiara el administrador, generalmente una vez al año. Siendo necesario introducir la clave para cada inicio de sesión en el equipo.

Algunas versiones de este sistema operativo crean automáticamente una “Sesión de Invitado”, nosotros recomendamos deshabilitarla, pues en ocasiones genera problemas al poder ser utilizada por software malintencionado que instale programas en nuestros equipos, con consecuencias no deseadas, como el robo de identidad.

También resulta interesante y obligatorio en algunos casos, la utilización de un salvapantallas cuando el equipo este sin actividad tres o mas minutos, obligando a volver a introducir la clave de usuario para poder continuar trabajando.

Si el equipo es usado por más de una persona, cada persona ha de tener su propio usuario y su clave personal. Eso facilita el mantenimiento y la seguridad de los equipos y de los datos.

La seguridad Informática (I)

2008-08-27T12:56:00.000+02:00

Tener un sistema informático para trabajar en lo usual a día de hoy, pero es algo más que tener un PC y utilizarlo.

Las PYME, los profesionales liberales, las asociaciones o cualquier tipo de organización trabajan con equipos informáticos aislados o en red, incluso con equipos conectados vía Internet.

Como es difícil que cuenten con un informático y más aun con un especialista en seguridad informática, queremos ayudar desde aquí para conseguir mejorar los niveles de seguridad y evitar problemas indeseados.

Para ello, iniciamos ahora una serie de artículos con pequeñas tareas de administración y seguridad que ayudaran a mejorar nuestro sistema, pero en especial su seguridad, tal y como exige la Ley Orgánica de Protección de Datos y su Reglamento. Las organizaciones a las que hemos realizado la adaptación a la ley, ya las conocen y las utilizan, pero siempre es bueno un recordatorio en estos temas.

1.- El sistema operativo:

Es el encargado de gestionar todas las operaciones que realiza el equipo o hardware, se carga en la memoria nada mas encenderlo y por tanto es “el alma” de cualquier sistema informático, independientemente de su configuración y del tipo de sistema operativo utilizado. Sin el no funciona nada.

Los hay comerciales, como Windows o libres como Linux, pero no son los únicos, hay gran numero de sistemas operativos, algunos de ellos propietarios, es decir que solo sirven para un determinado equipo.

Sea el que sea que utilizamos, es importante saber exactamente cual es, como funciona y que versiones y actualizaciones tenemos instaladas. Por descontado que los sistemas operativos comerciales han de ser originales. Si el ordenador ya trae instalado de fábrica el sistema operativo, han de entregarnos los discos de la versión correspondiente y las etiquetas y manuales originales.

Todo ello nos permite mantener el sistema actualizado durante un gran número de años, incluidas las actualizaciones o parches originales del fabricante, que solucionan pequeños problemas detectados en el sistema. Pero sin ello no podremos activar el sistema y no dispondremos de las mejoras que implementan los fabricantes.

Como la mayoría del parque de ordenadores utiliza Windows en sus diferentes versiones, desde este momento nos referiremos a este sistema operativo. Aunque la mayoría de funciones también están disponibles para otros sistemas.

Una buena función de Windows es las actualizaciones automáticas, que se cargan solas en el equipo, liberando trabajo extra y mejorando la seguridad, pues la mayoría son parches para solventar agujeros de seguridad detectados.

En el próximo artículo explicaremos como configurar Windows, para que sea mas seguro de utilizar.

¿Como cubre la LOPD? (Parte II)

2008-08-03T11:46:00.000+02:00

Continuado con el “como cubre la LOPD”, queremos aclarar los niveles de seguridad, que han ido apareciendo en el anterior articulo.

Nivel básico, todos los ficheros que contienen datos de carácter personal, han de adoptar las medidas de seguridad calificadas de nivel básico.

Nivel medio, han de implantar las medidas de seguridad de nivel medio, además de las de nivel básico, los siguientes ficheros:
- Los relativos a la comisión de infracciones administrativas o penales.
- Los de las administraciones tributarias.
- Los de las entidades financieras.
- Los de entidades gestoras y servicios comunes de la Seguridad Social, así como las mutuas de accidentes de trabajo y enfermedades profesionales.
- Los que permitan evaluar determinados aspectos de la personalidad o del comportamiento.
Nivel alto, han de implantar las medidas de seguridad de nivel alto, además de las de nivel medio y básico, los siguientes ficheros:
- Los que tengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
- Los que contengan o se refiera a datos recabados para fines policiales sin consentimiento de las personas afectadas.
- Los que contengan datos derivados de actos de violencia de genero.

Existen excepciones para algunos tratamientos de datos, que dejan de ser de nivel alto, cuando sean datos tratados accesoriamente y de forma no automatizada, o cuando la única finalidad es realizar transferencias dinerarias de socios o miembros, etc.

En definitiva, como cubre la LOPD es amplio y complejo, por lo que recomendamos que cuando adapte su organización para cumplir con la ley, si aun no lo ha hecho, lo realice un especialista, de manera personalizada para su organización. Puede contar con nosotros en www.bono-che.es, donde le ofrecemos un servicio completo y personalizado para usted, de forma sencilla, eficaz y económica.

¿Como cubre la LOPD? (Parte I)

2008-07-15T19:08:00.000+02:00

La Ley Orgánica de Protección de Datos, y su correspondiente Reglamento de Desarrollo, aprobado por Real Decreto 1720/2007, marca un gran número de medidas a adoptar, por parte de las organizaciones que tienen datos de carácter personal, que son diferentes y acumulativas según el nivel de seguridad que marcan los datos.

Pero para empezar, aclarar que los datos no son de las organizaciones que los tienen, son de las propias personas físicas, que disponen del derecho de acceso, rectificación, cancelación, bloqueo o denegación, que pueden ejercer ante las citadas organizaciones, que han de realizar los derechos ejercidos y comunicarlo al titular de los datos, generalmente en un plazo de diez días máximo. Para velar por el cumplimiento del ejercicio de los derechos esta la Agencia Española de Protección de Datos, a la que se puede pedir amparo.

Otra aclaración importante, es que no se distingue entre medios automatizados o no automatizados, es decir en formato digital-electrónico o documental-papel. Tampoco se diferencia entre ficheros de organizaciones públicas o privadas, todas han de cumplir determinados requisitos, aunque con excepciones en algunos casos para los públicos.

La primera obligación es nombrar un Responsable de Fichero, que será el responsable de que la organización cumpla con todo lo que marca la ley, además de ser el interlocutor con la Agencia Española de Protección de Datos. En algunos casos también un Responsable de Seguridad, que ayude al primero.

La segunda obligación es la de inscripción de los ficheros en la Agencia Española de Protección de Datos, que ha de hacerse antes de incluir datos personales en los mismos. La citada agencia nos notificara un número de registro para cada fichero.

Tercera y quizás la mas compleja, la redacción del Documento de Seguridad, en el que se recogen todas las medidas de seguridad que se han de aplicar en la organización, todos los ficheros inscritos ante la agencia, los responsables de tratamiento y sus obligaciones, si existen responsables de seguridad y sus obligaciones. Como se gestionan los derechos de acceso, rectificación, cancelación, bloqueo o denegación, así como se informa de los mismos. Quien puede acceder a los datos, como, cuando y porque. Como se gestionan las copias de seguridad. Como se gestionan los soportes. Como se gestionan las incidencias. Etc. Todo ello adaptado a los diferentes entornos que existen en las organizaciones, según usen los datos, quien los uses y para que, así como si son el formato documental-papel, electrónico o mixto (el más habitual).

Cuarta, dependiendo del nivel de seguridad de los datos, se tomaran diferentes medias, de modo acumulativos, es decir, todos los ficheros las marcadas para el nivel básico, las de nivel medio más las de nivel básico para los ficheros marcados como nivel medio, y así sucesivamente. Todas estas medidas se desarrollan en el Documento de Seguridad, aquí solo las enumeraremos, siendo diferentes para cada nivel de seguridad:

- BASICO: Funciones y obligaciones del personal. Registro de incidencias. Control de accesos. Gestión de soportes y documentos. Identificación y autenticación. Copias de respaldo y recuperación.
- MEDIO: Responsable de seguridad. Auditoria. Gestión de soportes y documentos. Identificación y autenticación. Control de acceso físico. Registro de incidencias.
- ALTO: Gestión y distribución de soportes. Copias de respaldo y recuperación. Registro de accesos. Telecomunicaciones.

Quinta, para los ficheros no automatizados, además y entre otras medidas, se les aplicara las siguientes medidas, también acumulativas:

- BASICO: Criterios de archivo, dispositivos de almacenamiento y custodia de soportes.
- MEDIO: Responsable de seguridad y Auditoria.
- ALTO: Almacenamiento de la información, copia o reproducción, acceso a la documentación y traslado de documentación.

Sexta, la adaptación documental, que incluye las páginas Web, los correos electrónicos, los formularios o los contratos, con la inclusión de las diferentes “coletillas informativas”, la inclusión de un “Aviso Legal” en la pagina Web, así como la correcta planificación de la pagina. También a de incluirse las cláusulas correspondientes en los contratos de nuestros tratadores de datos o en los que nosotros tratemos dados de otros.

Además de todo esto, siempre esta la Agencia Española de Protección de Datos, para velar y hacer cumplir con lo que marca la ley, además de ayudarnos a ello con la publicación de diferentes guías, resoluciones, consultas, etc.

¿Qué cubre la LOPD?

2008-07-02T12:31:00.000+02:00

La Ley Orgánica de Protección de Datos, y su correspondiente Reglamento de Desarrollo, aprobado por Real Decreto 1720/2007, es un mecanismo jurídico complejo, con el que la administración y en concreto la Agencia Española de Protección de Datos, como órgano encargado de la vigilancia y cumplimiento de la citada ley, tiene por objetivo “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades publicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal”. Comprende por tanto el tratamiento automatizado y el no automatizado de los datos de carácter personal.

Pero para aclarar lo que nos indica la ley, nada mejor que el sentido común. Podemos interpretar, que nuestros datos personales, tanto DNI, nombre y apellidos, teléfono, correo electrónico, como los que están más especialmente protegidos, como nuestras finanzas, religión, salud, imagen, etc. están cubiertos por la citada ley.

Esto significa que tenemos el derecho a saber quien tiene nuestros datos, como y para que los utiliza, además de acceder, rectificar, cancelar, bloquear o denegar el uso que hace de ellos cualquier organización, no solo las empresas, autónomos, profesionales liberales, etc., sino también la asociación de vecinos, el club deportivo, etc. Esto incluye a los organismos públicos, con ciertas limitaciones en su caso. No siendo necesario que esos datos estén tratados automatizadamente, es decir en ficheros electrónicos o mas coloquialmente en ordenador.

Como se puede apreciar de estas líneas, es una ley que cubre a todas las personas físicas, no diferenciando por el tamaño de la organización que tiene los datos, aunque si marca diferentes medidas de protección según el tipo de datos.

Por ultimo, desconfíe de las organizaciones que no le informan de la recogida de sus datos, más aun si es por Internet. Y si tiene dudas de si esa organización cumple la ley, puede empezar por buscar en la página de la Agencia Española de Protección de Datos si tienen ficheros inscritos o incluso presentar una denuncia si cree que sus datos están siendo usados de manera fraudulenta. El despacho www.abogadosedo.es puede ayudarles en cualquiera de estos casos.

EL CASO DE LOS PAPELES TIRADOS A LA BASURA

2008-06-16T19:56:00.000+02:00

Recientemente, ha salido en las televisiones, como un reportero recogía de los contenedores de basura de diferentes juzgados españoles, bolsas llenas de documentos y expedientes judiciales, que han sido llevados a la Agencia Española de Protección de Datos, para que estudie el caso.

En nuestra opinión, mientras la ley no permita multar a los responsables de los ficheros públicos, estos casos se repetirán cada vez que se realice un reportaje periodístico en juzgados, hospitales, ayuntamientos y diferentes instituciones públicas.

Es cierto que la falta de una trituradora de papeles, puede ser una excusa, pero existen otros métodos, como una guillotina, empresas especializadas o simplemente romper con la mano los documentos antes de tirarlos. Incluso, se podría añadir algún tipo de tinta en la bolsa, como remedio imaginativo.

Pero el problema se presenta porque desde las instituciones públicas no se da el valor necesario a la LOPD, ya que los responsables, solo pueden sufrir un expediente, pero la institución nunca es multada económicamente, lo que hace que no se tome en serio su cumplimiento. Además, suele ser más fácil culpar a un pobre funcionario, con su correspondiente expediente, que culpar al juez, al director de un hospital o a un alcalde.

La falsa creencia de que los datos son de quien los tiene, en lugar del titular de los mismos, tampoco ayuda, los datos no son de hacienda, del ayuntamiento, del banco o del medico, los datos son de los titulares de dichos datos. Y tienen todo el derecho a saber quien los tiene y para que los usa, además de esperar un correcto uso y custodia de los mismos, mientras son usados y una correcta destrucción al finalizar la vida de los mismos.

Por ultimo, indicar que si esto mismo, se hubiera realizado a una institución privada, con resultados similares, la multa seria histórica y ejemplarizante, además de la perdida en el valor de la marca de la empresa y en la confianza de sus clientes o usuarios, que pagaría cara.

LA GESTION DE LA SEGURIDAD DE LA INFORMACION

2008-06-04T19:20:00.000+02:00

Para realizar una correcta gestión de la seguridad de la información, no solo tratando de cubrir los aspectos legales, se deben aplicar un gran número de políticas y medidas que engloban a toda la organización, lo que implica una correcta gestión de los datos e información de las organizaciones.

En nuestra opinión y experiencia, creemos que se pueden diferenciar cuatro casos básicos, en cuanto a como realizan esta gestión las organizaciones.

Primero, la implantación de medidas básicas o de sentido común, copias de seguridad, cuentas de usuario en los equipos, archivo de la documentación en carpetas, etc. Que son implantadas casi de primeras por cualquier organización.

Segundo, adaptación parcial a la legalidad, con el registro de ficheros en la Agencia Española de Protección de Datos, adaptación de formularios. Que suelen realizar los propios interesados, e incluso tienen la falsa creencia de cumplir íntegramente la ley.

Tercero, cumplimiento legal, con la realización del documento de seguridad, registro de ficheros en la Agencia Española de Protección de Datos, adaptación de formularios, adaptación de pagina Web y coletillas de correo electrónico, ficheros documentales – papel, información a los empleados, contratos de outsourcing, auditorias, etc. Este paso lo suelen realizar en colaboración con empresas externas, como Bono-Che SL.

Cuarto, gestión integral de la seguridad, en la que la organización se preocupa de crear, mantener y actualizar sus políticas de seguridad, planes de gestión ante incidencias y continuidad operativa. Incluso de certificar esta gestión, con sus correspondientes planes. Que son la minoría de organizaciones las que lo realizan, en especial las grandes empresas. Bono-Che SL ofrece servicios completos y personalizados también en este caso.

¿POR QUE UN PRECIO Y UN SERVICIO PERSONALIZADO?

2008-05-15T16:31:00.000+02:00

La LOPD de Carácter Personal, diferencia tres niveles de protección, según el tipo de datos. Esto implica que no diferencia entre una pequeña clínica y una Corporación Estética.

Obviamente, las medidas de protección han de ser las mismas, pero con la diferencia importante en el numero de trabajadores, de equipos informáticos e incluso en el numero tratadores de datos. Por no incluir la existencia de una red corporativa, de paginas Web en diferentes servidores, cesiones internacionales de datos, etc.

Un programa informático estándar difícilmente puede cubrir todas las variables posibles, pues no es lo mismo una empresa, una asociación, o una comunidad de vecinos. Y dentro de ellas, no es lo mismo una empresa que otra. Además de no ser posible la realización de un Documento de Seguridad que cubra todas las distintas variables de manera automática, ha de realizarse a medida de la organización.

En el mercado existen, como ejemplo, gran número de programas informáticos para abogados o incluso formularios tipo para presentar distintos escritos ante la administración, pero nadie pondría en manos de un programa informático asuntos de importancia, que requieren los conocimientos de un Abogado, por el número de variables y casuística posibles.

Con todas estas premisas y variables posibles, apostamos por las tecnologías adaptadas a cada caso particular, creemos muy importante y así lo hacemos, ofrecer un servicio personalizado a cada organización. Adaptándonos a su estructura para implementar el sistema de seguridad y confeccionar la documentación que marca la ley. Esto implica también una adaptación en los costes y por lo tanto en los precios de nuestros servicios. Generalmente mas económicos que la mayoría de programas informáticos.

La importancia Tecnologica

2008-05-05T19:28:00.000+02:00

Que la tecnología es importante en el mundo actual, lo demuestra que alguien dedique un tiempo a escribir estos artículos y que alguien dedique su tiempo a leerlos. La tecnología ha impregnado todos los aspectos de nuestra vida cotidiana y profesional.

La velocidad con que han mejorado los ordenadores y cualquier sistema electrónico, hacen que muchas veces se superen las previsiones de los poderes y nuestras leyes sean desbordadas por la tecnología.

Pero además, dentro del mundo tecnológico, no todo el mundo avanza a la misma velocidad. Los fabricantes como Intel tienen una velocidad de crucero elevada, pero los fabricantes de software no tanto, aunque se trate de un gigante.

Por otra parte, estamos los usuarios, la mayor parte de ellos con conocimientos básicos y medios, que con gran esfuerzo tratamos de mantenernos dentro de esta carrera de fondo a gran velocidad. Con los elevados costes que nos acarrea a todos.

Como nosotros apostamos por la tecnología, creemos importante la inversión en equipos y programas informáticos, pero siempre dentro de un razonamiento operativo, que nos permita mejorar realmente, no solo tener gráficos más vistosos o sonido envolvente, si no son necesarios para nuestro trabajo.

En ocasiones, nuestros clientes han realizado inversiones en nuevos programas que no les permiten cumplir con la normativa actual, con el encarecimiento que puede suponer otro cambio o la posible sanción económica de la AEPD.

Queremos ofrecer nuestra ayuda a los desarrolladores de software, webmaster, etc. para cumplir con la LOPD y LSSICE, para ello, abriremos una nueva línea de negocio próximamente, en la que ofreceremos a precios razonables nuestros servicios.

Recordamos a nuestros clientes que siempre pueden contar con nosotros para asesorarles en estas materias, antes de realizar una inversión en tecnología de la información.

1ª SESION ANUAL ABIERTA DE LA AEPD 21-04-2008

2008-04-24T13:11:00.000+02:00

He asistido a la magnifica jornada organizada por la Agencia Española de Protección de Datos, en el Palacio de Congresos del Paseo de la Castellana de Madrid, lo que me ha permitido volver a mi lugar de nacimiento y recordar los atascos que sufre la ciudad cada mañana (ida: 2 horas, vuelta: 25 minutos. para menos de 20 Km.). Estoy encantado de vivir en Valencia y no pasarme dos o tres horas diarias en un coche.

Las jornadas empezaron con la ausencia del Sr. Mariano Fernández Bermejo, Ministro de Justicia, que no tuvo a bien reunirse con las más de dos mil personas de toda España a las que había anunciado su presencia. Pero mandó al Secretario de Estado.

A la entrada se nos obsequio con un bolígrafo y un par de folletos informativos, pero no tuvieron el detalle de darnos ningún tipo de acreditación o certificado a los asistentes. Llamando la atención la poca seguridad, sin un solo arco de seguridad o vigilantes que miraran los bultos a los asistentes. Cuando es lo normal en cualquier sitio a día de hoy.

El acto estaba dividido en dos sesiones, con distintas intervenciones, más o menos interesantes, pero que intentaban aclarar el panorama presentado con el nuevo Reglamento, seguido de sus ruegos y preguntas. Primero se respondió a algunas de las cuestiones mandadas al formalizar la inscripción, todas de carácter muy general y por supuesto sin carácter vinculante. Pero en mi opinión lo más interesante fueron las contestaciones a las preguntas de los asistentes.

Quiero agradecer a una señora, de la que desconozco el nombre, que preguntara ¿Cómo se financia la Agencia Española de Protección de Datos? El Director de la Agencia, Sr. Artemi Rallo Lombate, tras irse por las ramas un poco, concreto que se financian con una partida de los presupuestos generales del estado, mas una cuenta que gestionan ellos con las sanciones económicas fruto de las inspecciones. A mi, me parece muy peligroso y puede generar gran numero de actuaciones de inspección y sanciones, que les permita mayor financiación…

En otra pregunta para el Subdirector General de Inspección de Datos de la Agencia, Sr. Jose López Calvo, durante su contestación, aclaro la no necesidad de informar previamente a las empresas que se van a inspeccionar, así como que se incoan expedientes de inspección, entre otros motivos por denuncias anónimas. A mi esto me parece igual o mas peligroso que lo anterior, pues puede convertirse en un medio para solucionar rencillas personales o simplemente para hundir a un adversario empresarial. Denunciar anónimamente, sin ninguna prueba, no deja el estado democrático en buen lugar. Espero que las actuaciones de la Agencia no se basen el este método.

En definitiva, una jornada interesante, en lo personal y en lo profesional. Que me hace ver como un paseo el viaje Madrid-Valencia, en comparación con el viaje Boadilla del Monte – Paseo de la Castellana. Sobre el resto de cuestiones tratadas, procurare escribir próximamente.

En este caso si animo a todos a opinar sobre estas jornadas. Gracias.

Fdo. Gonzalo Martín Hidalgo.

Plazos de Adaptacion al Nuevo Reglamento

2008-04-11T12:19:00.000+02:00

PLAZOS DE ADAPTACION AL NUEVO REGLAMENTO 1720/2007 de 21 Diciembre

Según el, Reglamento de desarrollo de la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal, Articulo único. Aprobación del reglamento. Disposición transitoria segunda.

En el apartado 1º, respecto a ficheros automatizados que existieran en la fecha de entrada en vigor, marca un periodo de un año para los ficheros de nivel medio y de dieciocho meses para los de nivel alto. Dando un periodo de un año para los casos que requieran la implantación de una medida adicional.

En el apartado 2º, respecto a ficheros no automatizados que existieran en la fecha de entrada en vigor, marca un periodo de un año para los ficheros de nivel básico, dieciocho meses para los de nivel medio y dos años para los de nivel alto.

En el apartado 3º, respecto a los ficheros creados con posterioridad a la fecha de entrada en vigor, tanto automatizados como no automatizados. “deberán tener implantas, desde el momento de su creación la totalidad de las medidas de seguridad reguladas en el mismo”

A efectos prácticos, hemos de señalar las siguientes consideraciones:

Como creemos que la adaptación a la ley ha de realizarse en conjunto y de manera completa, siempre seria interesante ajustarse a los plazos mínimos, es decir un año, para adaptar todas las medidas necesarias.

Al tener que adaptar sus medidas a los ficheros no automatizados, al tratarse de Ficheros Mixtos en la mayoría de ocasiones, según nuestra experiencia, aprovechemos la ocasión para mejorar nuestro sistema de seguridad en su conjunto. Comprobando que efectivamente se cumple con la compleja normativa marcada por el Reglamento de Desarrollo de la Ley Orgánica 15/1999.

También consideramos importante el apartado tercero, para las empresas de nueva creación o simplemente, para la apertura de nuevas líneas de negocio, que requieren en la práctica una adaptación a la ley, tanto documental como formal desde un principio.

¿Que Considerar como Fichero?

2008-04-01T13:12:00.001+02:00

Segun el Reglamento de desarrollo de la Ley Orgánica 15/99, de 13 de diciembre, de Proteción de Datos de Carácter Personal, en su Artículo 5 - Definiciones, considera Fichero "Todo Conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso."

A efectos prácticos, hemos de señalar las siguientes consideraciones:

Es indiferente que los datos estén recogidos en formato documental (papel) o en archivos electrónicos informatizados, que son los más usuales, pero incluso estarían protegidos los datos guardados en formato video, sonoro, fotrográfico o cualquiera que sea el método de almacenamiento.
Si en formato documental, consideramos como un fichero, por ejemplo de facturas emitidas, al conjunto de todas nuestras facturas emitidas, aunque se almacenen organizadamente en diferentes archivadores, de igual forma, consideraremos un fichero electrónico al conjunto de archivos, organizados en diferentes carpetas o directorios, o bien, organizados por el programa que trata esos datos.

Por tanto, si tenemos un programa de gestión, para trabajar con los datos de los clientes, proveedores, las facturas, las nominas o cualquier otro tipo de datos, podemos considerar todos esos datos, como un solo fichero. Si guardamos los soportes que generan esos datos, como serian las facturas, las fichas de clientes, etc. en formato documental, podemos englobarlo dentro de ese mismo fichero.

De cara a la Agencia Española de Protección de Datos, solo tendríamos que dar de alta, un solo fichero, indicando que el sistema de tratamiento es mixto.

Nos Presentamos

2008-03-27T12:09:00.000+01:00

BONO-CHE S.L., es una empresa con domicilio en Valencia, que da servicios de Protección de Datos de Carácter Personal (LOPD).

Invertimos gran cantidad de recursos en ofrecer servicios personalizados, adaptados a cada empresa, organización, asociación, autónomos, etc. Con precios competitivos y formas de pago adaptadas a las necesidades particulares de cada uno.

Disponemos de una pagina Web http://www.bono-che.es/, donde encontrará información relacionada con nuestros servicios, así como las distintas posibilidades de contactar con nosotros mediante correo electrónico, teléfono, etc.

Estamos preparando un servicio On-Line para facilitar nuestros servicios mediante correos electrónicos, lo que redundara en una disminución de los precios y una mayor facilidad para nuestros clientes. Encontrándose en fase Beta (pruebas), esperamos poder ofrecer el servicio completo en el próximo mes de Septiembre 2008.

Mediante este blog, pretendemos dar información actualizada de la empresa, de las leyes y otros aspectos relativos a la Protección de Datos de Carácter Personal y de la Sociedad de la Información. Intentando mantener una periodicidad quincenal, que podrá irse reduciendo en función de la aceptación de los contenidos.

Para cualquier consulta, sugerencia o información, pueden dirigirse a informacion@bono-che.es, ya que este blog no queremos convertirlo en un foro de preguntas y respuestas, sino en un medio útil de información y ayuda para todos los interesados en una correcta implantación de las medidas que marca la ley.

Por ultimo, agradecer a nuestros clientes y colaboradores, la gran aceptación que hemos tenido. Esperamos seguir contando con su apoyo. Gracias.