Tras la publicación en Heraldo de Zaragoza del robo el 22 de marzo de 2009, y denunciado el 24 de marzo del mismo año, de un lápiz de memoria del Hospital Provincial de la ciudad, en el cual aparecían datos de carácter personal de empleados (nombre, apellidos, código de cuenta corriente y salario de cada trabajador), una particular envió un escrito de denuncia a la Agencia Española de Protección de Datos (AEPD).
Según el informe publicado el pasado 2 de julio, la AEPD inició actuaciones previas, en las que se constató que el robo se produjo al forzar la puerta de la oficina de personal del centro sanitario. El informe concluye que tanto el Servicio Aragonés de Salud como el Hospital Provincial incurrieron en una infracción por no tener terminado y al día el Documento de Seguridad del centro, y resuelve que se ha infringido la normativa vigente en materia de Protección de Datos. La AEPD ha requerido a ambas entidades, mediante dicho informe, que adopten las medidas oportunas para que no vuelva a ocurrir un hecho parecido, e insta al Hospital Provincial a que termine el Documento de Seguridad que está elaborando “e implante todas las medidas que se requieren legal y reglamentariamente”.
Fuente: http://todonoticiasLOPD.com, www.heraldo.es
El gobierno alemán prepara una Ley para la privacidad en el trabajo, cuya principal novedad consiste en prohibir a los empleadores utilizar las redes sociales como fuente de información acerca de los candidatos en los procesos de selección. La norma fue impulsada en su día por la jefa de Estado, Angela Merkel.
El proyecto de Ley pretende restringir los accesos de los patrones sólo a los datos que se encontrasen en perfiles de redes sociales profesionales, como LinkedIn. Sin embargo, no permitiría la búsqueda de información más allá de la pública en redes meramente sociales, como Facebook.
También se prohibirá que se grabe a los trabajadores en su lugar de trabajo sin su conocimiento, aunque se permitiría la grabación en algunos lugares siempre que se les comunique este hecho a los empleados.
El consejo de ministros ya ha dado su visto bueno y ahora solo falta la aprobación por el Parlamento, por lo que es muy probable que la nueva normativa entre en vigor este mismo año.
Las autoridades alemanas de protección de datos aseguran que la propuesta es una mejora considerable en el ’status quo’ a la hora de tratar con los datos de los empleados.
Por su parte, una portavoz de Facebook, explicó que la compañía no hace comentarios sobre privacidad, puesto que las opciones de privacidad de la red social permiten que sus usuarios compartan la información a su gusto, pudiendo permitir el acceso a su perfil ya sea a toda la red o sólo a un número limitado de personas.
La legislación alemana que impediría que las empresas usen información privada de las redes sociales para contratar sería la primera de este tipo en el mundo. No hay lugar a duda que es un gran paso en poner freno a la práctica cada vez más frecuente entre los responsables de personal de las empresas de bucear en las redes sociales y recabar la información sobre los vicios y hábitos de sus empleados.
No obstante todos están consientes de lo difícil que será su aplicación, puesto que tendrá que ser el candidato o trabajador responsable de probar que una actuación de la empresa se haya basado en publicaciones aparecidas en la red social.
Fuente: www.elmundo.es
La LOPD establece como regla general que los datos de carácter personal sólo podrán ser cedidos o comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente (el centro sanitario) y cesionario con el previo consentimiento del interesado.
Sin embargo, esta regla general no resulta aplicable si existe una Ley autoriza la cesión (o comunicación de datos), es decir, no sería necesario el consentimiento para que los datos clínicos pudieran ser cedidos. Pensemos, por ejemplo, en la cesión o comunicación a los jueces y tribunales. El ejemplo que hemos puesto se concreta en la Ley 41/2002 de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica, que regula el acceso a la historia clínica con fines de investigación judicial.
En relación al archivo de historiales clínicos, los criterios básicos de archivo están contenidos en la citada Ley 41/2002, que establece que cada centro sanitario archiva las historias clínicas de sus pacientes, con independencia de su soporte, de manera que esté garantizada su seguridad, y correcta conservación.
Según esta Ley, cada historia clínica se llevará con criterios de unidad y de integración para facilitar el mejor conocimiento por parte de los profesionales sanitarios de los datos personales de un determinado paciente.
Áudea Seguridad de la Información – www.audea.com
Estas acciones online adolecen de serios problemas, tanto en el ámbito de la Protección de Datos, como en el de los Servicios de la Sociedad de la Información:
Protección de Datos
Para todo tratamiento de datos personales se exige información y consentimiento previos al tratamiento. Asimismo, debe informarse y obtener el consentimiento de cualquier afectado cuando sus datos vayan a ser revelados a un tercero.
En las campañas de “envía a un amigo”, se tratan datos del destinatario sin haber informado ni obtenido su consentimiento. Además, se revela al destinatario el nombre del remitente.
Servicios de la Sociedad de la información
Para el envío de comunicaciones comerciales por medios electrónicos, se exige haber obtenido un consentimiento expreso del destinatario.
Sin embargo, no se consideran comunicaciones comerciales electrónicas “los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio”
Solución recomendada
Informar al remitente de que sus datos van a ser comunicados al destinatario y responsabilizarle de consentir en nombre del destinatario. En todo caso, los datos deben ser eliminados tras el envío:
“Sus datos serán comunicados al destinatario. Sus datos y los del destinatario serán procesados y eliminados inmediatamente tras el envío. Usted consiente en nombre del destinatario el envío de este contenido por email”
El contenido del email debe ceñirse a la excepción de la normativa para que no sea una comunicación comercial, sin logos, marcas, ni textos comerciales de ningún tipo. Por ejemplo:
Asunto: Recomendación de [nombre del amigo]
Contenido: [URL recomendada]
Áudea Seguridad de la Información
A través de la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre, se establecen a nivel europeo los usos permitidos y la forma en que se debe solicitar el consentimiento de los usuarios al uso de ‘cookies’.
En particular, el artículo 2.5 modifica el 5.3 de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas):
Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.
Sin embargo, nuestra vigente Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico expresa en su artículo 22.2 que:
Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de datos mediante un procedimiento sencillo y gratuito.
Por lo tanto, aunque actualmente sólo es necesario informar sobre la existencia de las cookies y sobre cómo pueden evitarse, cuando se trasponga la Directiva 2009/136/CE, deberá informarse y obtener el consentimiento del usuario para la activación de la cookie.
Por último, el considerando 66 de la Directiva incide en el régimen expresado, subrayando que “puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrezca el derecho de negativa debe ser el más sencillo posible para el usuario. Las excepciones a la obligación de facilitar información y proponer el derecho de negativa deben limitarse a aquellas situaciones en las que el almacenamiento técnico o el acceso sean estrictamente necesarios con el fin legítimo de permitir el uso de un servicio específico solicitado específicamente por el abonado o usuario. Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación. La aplicación de estos requisitos debe ganar en eficacia gracias a las competencias reforzadas concedidas a las autoridades nacionales”.
Plazo de transposición
• La transposición de los preceptos de la Directiva 2009/136/CE deberá producirse antes del 25 de mayo de 2011.
Áudea Seguridad de la Información
El pasado 27 de julio el Tribunal Supremo dio a conocer tres sentencias (sobre los recursos contenciosos administrativos 23/2008, 25/2008 y 26/2008) en que se declaran nulos, por ser contrarios a derecho, los artículos 11, 18, 38. 2, y 123.2 así como de la última frase del artículo 38.1.a), del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RLOPD y LOPD, respectivamente).
El Tribunal considera que el artículo 11 del RLOPD que permitía la verificación por las Administraciones Públicas de datos en solicitudes formuladas por los ciudadanos sin requerir consentimiento de estos, habilita una cesión de datos al margen de los supuestos autorizados por los artículos 6 y 11 de la LOPD. La declaración de nulidad del precepto conlleva una garantía de protección de los datos de personas físicas ante la gestión de las Administraciones Públicas, pero también una incomodidad para el ciudadano, que deberá volver a declarar los datos personales de que se trate o acreditar su autenticidad. Este problema podría resolverse incorporando en los formularios que rellenen los ciudadanos una autorización expresa para la verificación o comunicación de datos por parte de la Administración correspondiente.
El Tribunal declara nulo el artículo 18 del RLOPD (“Acreditación del cumplimiento del deber de información”) por imponer al responsable del fichero, ilegítimamente y sin respaldo en la LOPD, la obligación de la constancia documental o acreditación del deber de información al afectado. El Supremo expresa que la LOPD “ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) (…). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma”. La Sentencia suprime, con este artículo, dos obligaciones: la de informar por un medio que permita acreditarlo, y la de conservar el soporte en el que conste el cumplimiento del deber de informar.
En el artículo 38 (sobre requisitos para la inclusión de los datos en ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado) se expresa que es requisito para esa inclusión la “existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada”. Se elimina la frase “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”. La supresión de esta frase, por defectuosa redacción e inconcreción de su contenido (ya que permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero), afecta a la defensa del ciudadano ante las prácticas de empresas que ante una deuda incluyen los datos de sus “deudores” en un fichero de morosos por deudas sobre cuya existencia o cuantía puede haber discrepancia.
La declaración de nulidad del artículo 38.2 beneficia a las empresas y demás responsables de fichero, ya que este párrafo trasladaba a estos la carga de la prueba de la concurrencia de los requisitos del artículo 38.1 en términos que originan una inseguridad jurídica que podría dar lugar a apertura de expedientes sancionadores. Sin embargo, para el ciudadano aumenta la desprotección, ya que no puede combatir la presunción del declarante. Deberá seguir observándose el derecho a la impugnación de las valoraciones (art. 13 LOPD), “Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad”, debiendo admitir las empresas titulares de ficheros de solvencia patrimonial la impugnación de las deudas inscritas y del acceso de entidades a los datos, por ejemplo, para decidir la denegación de crédito.
Por último, el artículo 123.2 (“Personal competente para la realización de actuaciones previas”) trata la potestad de designación del Director de la AEPD en relación con supuestos excepcionales no delimitados, con una falta de concreción que supone una libertad de designación incompatible con el limitado y específico de la encomienda de gestión de los artículos 35, 37 y 40 de la LOPD.
Áudea, Seguridad de la Información
www.audea.com
El cumplimiento de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, es un imperativo legal emanado del marco normativo de la Unión Europea ligado a la regulación de diversos aspectos de los servicios de la sociedad de la información y del comercio electrónico en el mercado interior.
La incorporación de Internet a la vida económica y social ofrece innumerables ventajas, como la mejora de la eficiencia empresarial, el incremento de las posibilidades de elección de los usuarios y la aparición de nuevas fuentes de empleo. Pero la implantación de Internet y las nuevas tecnologías tropieza con algunas incertidumbres jurídicas, que es preciso aclarar con el establecimiento de un marco jurídico adecuado, que genere en todos los actores intervinientes la confianza necesaria para el empleo de este nuevo medio.
Precisamente, la LSSI pretende que se puedan aplicar las normas tradicionales a las mismas actividades realizadas por medios electrónicos, ocupándose tan sólo de aquellos aspectos que, ya sea por su novedad o por las peculiaridades que implica su ejercicio por vía electrónica, no están cubiertos por dicha regulación tradicional.
Áudea aplica una metodología de análisis consolidada gracias a la experiencia adquirida en los numerosos proyectos realizados y las sugerencias de mejora de nuestros clientes, lo que nos permite obtener unos resultados objetivos, concretos y útiles para las organizaciones.
Beneficios
La aplicación de nuestra metodología de análisis y evaluación de la situación con respecto a la normativa de protección de datos permite al cliente:
• Contar con un análisis completo de la situación en relación con la normativa vigente.
• Evitar la imposición de sanciones, costes legales y responsabilidades.
• Aumentar la confianza con respecto a sus clientes.
• Incrementar la coherencia en las actuaciones de la organización en el tratamiento de una información que forma parte esencial de sus activos.
En definitiva, permite establecer el primer elemento para alcanzar una cultura de la seguridad y una excelencia en el tratamiento de la información en todos sus procesos de negocio.
Para más información contacte con nosotros en el 91.7451157 o mediante correo electrónico a info@audea.com.
Áudea Seguridad de la Información
http://www.audea.com/
Partiendo de la premisa de que la difusión a través de Internet no constituye una transferencia internacional de datos, el objetivo que debiéramos alcanzar es la de publicar datos personales con sistemas que supongan la menor afectación para nuestros datos personales.
En este sentido, la difusión de nuestros datos personales debería ir precedida de una decisión motivada por parte de la entidad que decide su publicación, limitando la publicación a aquellos datos estrictamente necesarios.
Asimismo, sería muy conveniente la inclusión de la fecha de la publicación de los datos, con el fin de realizar cuantas revisiones periódicas del contenido sean oportunas.
Por otro lado, a los datos de carácter personal publicados en Internet debieran acceder los titulares de los mismos y, en su caso, las personas que acrediten un interés legítimo.
Transcurrido el plazo de exposición pública exigida legalmente por alguna norma, debiera limitarse el acceso a los datos.
Áudea Seguridad de la Información
http://www.audea.com/
El procedimiento general de alta de usuarios que debe considerarse en el Documento de Seguridad de cualquier entidad es aplicable a todos los ficheros y aplicaciones de los sistemas de información del Responsable del Fichero.
Consideramos que el alta de usuarios debiera integrar los siguientes puntos:
1.- Detallar en la solicitud los accesos que se precisan, según las funciones que vaya a desempeñar, mediante la cumplimentación del formulario de solicitud de alta, baja o modificación de acceso que deberá tener cada Responsable del Fichero.
2.- Para que el proceso de alta de usuario se realice correctamente, es preciso cumplimentar una serie de apartados:
a. Nombre y apellidos del interesado.
b. Dirección, área, departamento al que pertenece el solicitante.
c. Servicio para el que se solicita el acceso.
d. Fecha de la solicitud.
e. Firma del responsable.
Áudea Seguridad de la Información
http://www.audea.com/
El interesado tiene derecho a solicitar a la persona responsable la rectificación o cancelación de los datos de carácter personal que pudieran resultar incompletos, inexactos, innecesarios o excesivos.
El titular de los datos puede ejercitar su derecho de cancelación o rectificación mediante escrito dirigido al responsable del fichero de la entidad de que se trate. Si no se produce contestación en el plazo de 10 días hábiles, puede reclamarse ante la AEPD.
Si procede, la persona responsable rectificará o cancelará los datos de carácter personal conforme a lo solicitado. Deberá, además, notificar este extremo a los terceros a quienes se hayan comunicado los datos de carácter personal, siempre que los mismos fueran conocidos.
La cancelación no procederá cuando los datos de carácter personal deban ser conservados para el cumplimiento de una obligación impuesta sobre la persona responsable por la legislación o, en su caso, por las relaciones contractuales entre la persona responsable y el interesado
Por último, se podrá proceder al bloqueo de datos, impidiendo el posterior acceso o uso de los mismos salvo que los soliciten las AAPP, Jueces y Tribunales.
http://www.audea.com
