Como se ha indicado en otras ocasiones, el derecho de rectificación tiene carácter personalísimo, lo que significa que solamente podrá ejercerlo el titular de los datos, acreditando previamente su representación.
Para ejercer este derecho, el titular o afectado de los datos de carácter personal ejercitará ante el responsable del fichero, acreditando su identificación y la del fichero/s que desea consultar. En esta petición se incluirá, al menos, la siguiente información:
? La propia solicitud de rectificación, indicando los datos erróneos y la corrección que corresponda.
? El nombre y apellidos del afectado.
? El domicilio a efectos de contestación postal.
? La fecha.
? La firma.
? Fotocopia del DNI.
? Otra documentación que acredite su petición de rectificación.
Por último, indicar que para el supuesto (bastante habitual) en el que la solicitud de rectificación no reúne los requisitos reseñados, el responsable del fichero procederá a solicitar su subsanación.
Áudea Seguridad de la Información – www.audea.com
La LOPD establece como regla general que los datos de carácter personal sólo podrán ser cedidos o comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente (el centro sanitario) y cesionario con el previo consentimiento del interesado.
Sin embargo, esta regla general no resulta aplicable si existe una Ley autoriza la cesión (o comunicación de datos), es decir, no sería necesario el consentimiento para que los datos clínicos pudieran ser cedidos. Pensemos, por ejemplo, en la cesión o comunicación a los jueces y tribunales. El ejemplo que hemos puesto se concreta en la Ley 41/2002 de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica, que regula el acceso a la historia clínica con fines de investigación judicial.
En relación al archivo de historiales clínicos, los criterios básicos de archivo están contenidos en la citada Ley 41/2002, que establece que cada centro sanitario archiva las historias clínicas de sus pacientes, con independencia de su soporte, de manera que esté garantizada su seguridad, y correcta conservación.
Según esta Ley, cada historia clínica se llevará con criterios de unidad y de integración para facilitar el mejor conocimiento por parte de los profesionales sanitarios de los datos personales de un determinado paciente.
Áudea Seguridad de la Información – www.audea.com
El cumplimiento de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, es un imperativo legal emanado del marco normativo de la Unión Europea ligado a la regulación de diversos aspectos de los servicios de la sociedad de la información y del comercio electrónico en el mercado interior.
La incorporación de Internet a la vida económica y social ofrece innumerables ventajas, como la mejora de la eficiencia empresarial, el incremento de las posibilidades de elección de los usuarios y la aparición de nuevas fuentes de empleo. Pero la implantación de Internet y las nuevas tecnologías tropieza con algunas incertidumbres jurídicas, que es preciso aclarar con el establecimiento de un marco jurídico adecuado, que genere en todos los actores intervinientes la confianza necesaria para el empleo de este nuevo medio.
Precisamente, la LSSI pretende que se puedan aplicar las normas tradicionales a las mismas actividades realizadas por medios electrónicos, ocupándose tan sólo de aquellos aspectos que, ya sea por su novedad o por las peculiaridades que implica su ejercicio por vía electrónica, no están cubiertos por dicha regulación tradicional.
Áudea aplica una metodología de análisis consolidada gracias a la experiencia adquirida en los numerosos proyectos realizados y las sugerencias de mejora de nuestros clientes, lo que nos permite obtener unos resultados objetivos, concretos y útiles para las organizaciones.
Beneficios
La aplicación de nuestra metodología de análisis y evaluación de la situación con respecto a la normativa de protección de datos permite al cliente:
• Contar con un análisis completo de la situación en relación con la normativa vigente.
• Evitar la imposición de sanciones, costes legales y responsabilidades.
• Aumentar la confianza con respecto a sus clientes.
• Incrementar la coherencia en las actuaciones de la organización en el tratamiento de una información que forma parte esencial de sus activos.
En definitiva, permite establecer el primer elemento para alcanzar una cultura de la seguridad y una excelencia en el tratamiento de la información en todos sus procesos de negocio.
Para más información contacte con nosotros en el 91.7451157 o mediante correo electrónico a info@audea.com.
Áudea Seguridad de la Información
http://www.audea.com/
Partiendo de la premisa de que la difusión a través de Internet no constituye una transferencia internacional de datos, el objetivo que debiéramos alcanzar es la de publicar datos personales con sistemas que supongan la menor afectación para nuestros datos personales.
En este sentido, la difusión de nuestros datos personales debería ir precedida de una decisión motivada por parte de la entidad que decide su publicación, limitando la publicación a aquellos datos estrictamente necesarios.
Asimismo, sería muy conveniente la inclusión de la fecha de la publicación de los datos, con el fin de realizar cuantas revisiones periódicas del contenido sean oportunas.
Por otro lado, a los datos de carácter personal publicados en Internet debieran acceder los titulares de los mismos y, en su caso, las personas que acrediten un interés legítimo.
Transcurrido el plazo de exposición pública exigida legalmente por alguna norma, debiera limitarse el acceso a los datos.
Áudea Seguridad de la Información
http://www.audea.com/
El interesado tiene derecho a solicitar a la persona responsable la rectificación o cancelación de los datos de carácter personal que pudieran resultar incompletos, inexactos, innecesarios o excesivos.
El titular de los datos puede ejercitar su derecho de cancelación o rectificación mediante escrito dirigido al responsable del fichero de la entidad de que se trate. Si no se produce contestación en el plazo de 10 días hábiles, puede reclamarse ante la AEPD.
Si procede, la persona responsable rectificará o cancelará los datos de carácter personal conforme a lo solicitado. Deberá, además, notificar este extremo a los terceros a quienes se hayan comunicado los datos de carácter personal, siempre que los mismos fueran conocidos.
La cancelación no procederá cuando los datos de carácter personal deban ser conservados para el cumplimiento de una obligación impuesta sobre la persona responsable por la legislación o, en su caso, por las relaciones contractuales entre la persona responsable y el interesado
Por último, se podrá proceder al bloqueo de datos, impidiendo el posterior acceso o uso de los mismos salvo que los soliciten las AAPP, Jueces y Tribunales.
http://www.audea.com
El auge de las redes sociales, impulsado al hilo del éxito social de plataformas como Facebook o Tuenti y, en menor medida My Space, está generando nuevas propuestas que en algunos casos aún están produciendo problemas en relación con la seguridad de la materia prima con la que trabajan: los datos de los usuarios registrados. Entre ellas, destaca el caso de Shtyle.fm.
Shtyle.fm es un sitio web que se presenta como un híbrido de mundo virtual y red social sobre la que todavía escasea la información en la Web. Empleando como dominio de nivel superior geográfico (ccTLD) el .fm, asignado en un principio para los Estados Federados de Micronesia pero que suelen adquirir estaciones o webs de radio, en principio la página parece ser creación de un emprendedor de Tulsa, Oklahoma, y expone una política de privacidad en la que se afirma que “Shtyle no revelará a tercero alguno el nombre o la información de contacto de los miembros”; sin embargo en la práctica esto no está siendo cierto, ya que ya se han producido quejas de que la red emplea los datos de los usuarios registrados para conseguir nuevos registros y expandirse. El envío de e-mails a contactos del correo del registrado estaría produciéndose sin consentimiento de este ni del destinatario, lo que constituiría a la luz de la normativa europea sobre protección de datos un claro caso de spam y de cesión no consentida de datos de carácter personal, además de la gravedad del hecho de enviar una solicitud de amistad simulando que es enviada por el usuario registrado sin que este haya mostrado tal intención.
En Estados Unidos, no obstante, se admite que se pueda emplear la lista de direcciones del correo de un usuario para hacer este tipo de envíos en el caso de que dicho usuario no restrinja su privacidad al darse de alta en el sitio del que se trate. Posibilidad que no cabe de ningún modo en el caso europeo.
María Teresa Nevado García de la Cruz
Áudea Seguridad de la Información
www.audea.com
Recientemente, la Agencia Española de Protección de Datos ha impuesto una sanción de 6.000 euros a Telefónica por dar de alta a un cliente en el servicio de ADSL que nunca había solicitado. Además, para poder anular los servicios que supuestamente había contratado, antes tuvo que pagar una factura por dispositivo que no había pedido.
Tras una denuncia que se formuló a través de la Asociación de Consumidores de Navarra Irache, la Agencia Española de Protección de datos procedió a realizar las pertinentes investigaciones en los que descubrió las irregularidades cometidas por la compañía de telecomunicaciones.
La persona afectada recibió en noviembre de 2007 en su domicilio un router de Telefónica sin haberlo pedido. Entonces disponía de línea fija, contratada con Telefónica, y servicio de Internet a través de la empresa Ya.com. El afectado contactó con Telefónica para solicitar una explicación y le replicaron que la supuesta contratación de había realizado por teléfono.
Pese a reiterar que no había contratado nada ni por teléfono ni por ningún otro medio, el afectado tuvo que darse de baja dos semanas más tarde y aún así recibió una factura de Telefónica por importe de 92,65 euros que incluían servicio ADSL, traspaso de línea y compra de módem.
La Agencia Española de Protección de Datos ha considerado que Telefónica ha cometido una infracción al no probar que el denunciante haya prestado el consentimiento inequívoco necesario para que dicha compañía pudiese tratar sus datos. No obstante se valoró también que Telefónica “regularizó la situación creada de forma diligente y en un tiempo prudencial” tras haber recibido la reclamación por lo que fue considerada como falta leve.
FUENTE: WWW.DIARIDENAVARRA.ES
La normativa vigente en materia de protección de datos establece que los menores de 14 años no tienen capacidad suficiente para consentir el tratamiento de sus datos, debiendo consentir sus padres o tutores en su nombre.
Por ello, se responsabiliza a las empresas de:
• Garantizar que se ha comprobado la edad de la persona cuyos datos se tratan; bien rechazando el registro de los menores de 14 años, bien solicitando autorización a sus padres o tutores.
• Verificar fehacientemente la autenticidad del consentimiento prestado, en su caso, por padres o tutores (libro de familia o documento acreditativo de la condición de tutor legal).
En el entorno web no es factible ofrecer estas garantías. Por ello, lo más recomendable es renunciar al tratamiento de los datos personales de los menores de 14 años. Si, a pesar de ello, se quiere asumir el riesgo, se propone la siguiente medida de control: Identificar la edad del usuario a través de campo fecha de nacimiento y, en caso de que el resultado sea inferior a 14 años, mostrar un campo adicional para que el usuario introduzca la dirección de email de su padre o tutor (que no debe coincidir con la del propio usuario), y someter el registro del usuario a aceptación expresa del supuesto padre o tutor.
Todas las páginas web son susceptibles de tratar datos de menores de 14 años, ya que la única posibilidad técnica de filtrar estos menores es a través del campo fecha de nacimiento, que compruebe automáticamente que la fecha de nacimiento da un resultado igual o superior a 14 años (medida de control muy débil). Evidentemente, esto no exime de responsabilidad al titular de la web, pero permite su defensa.
Cualquier otra medida adicional, daría más fuerza a la defensa: Textos legales que pongan de manifiesto que los servicios van dirigidos a mayores de 14 años; programación web que impida modificar la fecha de nacimiento una vez introducida; etc.
Es un problema que a día de hoy no tiene solución y al que es vulnerable la propia página de la Agencia Española de Protección de Datos.
Áudea Seguridad d ela Información
La Agencia Española de Protección de Datos (AEPD) ha tenido conocimiento de que diversas entidades envían comunicaciones a responsables de ficheros utilizando denominaciones similares a las de la propia Agencia, induciendo a confusión sobre el remitente de la comunicación.
Las formulas utilizadas por dichas entidades son diversas: Utilización indebida del logo de la AEPD, denominaciones similares a las de la Agencia, membretes que simulan requerimientos de la AEPD o la utilización de escritos cuyos formatos son similares a los enviados por la Agencia Española de Protección de Datos.
Estas comunicaciones suelen presentarse como un requerimiento de la AEPD sobre el cumplimiento de la normativa de protección de datos, con advertencias sobre el régimen sancionador aplicable, ofreciendo un asesoramiento posterior sobre cómo adaptarse a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD).
Ante estos hechos la Agencia manifiesta públicamente que no realiza requerimientos en los términos que se han indicado y advierte a los responsables de ficheros que los reciban para que analicen detenidamente la identificación de los remitentes a fin de evitar confusiones o presuntas suplantaciones de la AEPD.
En cualquier caso, la AEPD analizará las denuncias que reciba sobre estas
conductas reservándose el ejercicio de las acciones legales pertinentes para
proteger su imagen, evitar prácticas desleales o exigir responsabilidades penales sobre los responsables de estas prácticas.
Fuente: www.agpd.es
Debería ser objetivo de todo curso de formación en el ámbito de la protección de datos de carácter personal la adquisición de habilidades en dicho ámbito que se traduzca para la empresa que decide acometer una tarea formativa, en un óptimo cumplimiento de la LOPD.
Es decir, optimizar las tareas de gestión en materia de protección de datos del personal de la empresa, mejorando, por ende, la calidad de los servicios profesionales ofertados por ésta.
A nuestro juicio, los aspectos básicos que debería contener un curso de formación básico en materia de protección de datos son los siguientes:
Datos de carácter personal.
Fichero con datos de carácter personal.
Responsable del Fichero.
Tratamiento acorde con las finalidades declaradas ante la Agencia Española de Protección de Datos.
Formalización de contratos con los Encargados del Tratamiento.
Información a los clientes.
Cláusulas en documentos.
Comunicaciones.
Atención de los derechos de los clientes:
Personal que trate datos de carácter personal.
Cláusula informativa en nuevos contratos.
Entrega de documentación informativa.
Registro de incidencias (comunicación al Responsable de Seguridad).
Registro de E/S de soportes (comunicación al Responsable de Seguridad).
Autorizaciones para recuperación de datos.
Protección de las contraseñas de acceso.
Privacidad y confidencialidad en el tratamiento de los datos.
Prohibición de comunicaciones no autorizadas a terceros no identificados.
Protección de la información (soportes informáticos y papel).
Actualización del documento de seguridad: comunicación al Responsable de Seguridad de altas y bajas de personal.
Áudea – www.audea.com
