El gobierno alemán prepara una Ley para la privacidad en el trabajo, cuya principal novedad consiste en prohibir a los empleadores utilizar las redes sociales como fuente de información acerca de los candidatos en los procesos de selección. La norma fue impulsada en su día por la jefa de Estado, Angela Merkel.
El proyecto de Ley pretende restringir los accesos de los patrones sólo a los datos que se encontrasen en perfiles de redes sociales profesionales, como LinkedIn. Sin embargo, no permitiría la búsqueda de información más allá de la pública en redes meramente sociales, como Facebook.
También se prohibirá que se grabe a los trabajadores en su lugar de trabajo sin su conocimiento, aunque se permitiría la grabación en algunos lugares siempre que se les comunique este hecho a los empleados.
El consejo de ministros ya ha dado su visto bueno y ahora solo falta la aprobación por el Parlamento, por lo que es muy probable que la nueva normativa entre en vigor este mismo año.
Las autoridades alemanas de protección de datos aseguran que la propuesta es una mejora considerable en el ’status quo’ a la hora de tratar con los datos de los empleados.
Por su parte, una portavoz de Facebook, explicó que la compañía no hace comentarios sobre privacidad, puesto que las opciones de privacidad de la red social permiten que sus usuarios compartan la información a su gusto, pudiendo permitir el acceso a su perfil ya sea a toda la red o sólo a un número limitado de personas.
La legislación alemana que impediría que las empresas usen información privada de las redes sociales para contratar sería la primera de este tipo en el mundo. No hay lugar a duda que es un gran paso en poner freno a la práctica cada vez más frecuente entre los responsables de personal de las empresas de bucear en las redes sociales y recabar la información sobre los vicios y hábitos de sus empleados.
No obstante todos están consientes de lo difícil que será su aplicación, puesto que tendrá que ser el candidato o trabajador responsable de probar que una actuación de la empresa se haya basado en publicaciones aparecidas en la red social.
Fuente: www.elmundo.es
Como se ha indicado en otras ocasiones, el derecho de rectificación tiene carácter personalísimo, lo que significa que solamente podrá ejercerlo el titular de los datos, acreditando previamente su representación.
Para ejercer este derecho, el titular o afectado de los datos de carácter personal ejercitará ante el responsable del fichero, acreditando su identificación y la del fichero/s que desea consultar. En esta petición se incluirá, al menos, la siguiente información:
? La propia solicitud de rectificación, indicando los datos erróneos y la corrección que corresponda.
? El nombre y apellidos del afectado.
? El domicilio a efectos de contestación postal.
? La fecha.
? La firma.
? Fotocopia del DNI.
? Otra documentación que acredite su petición de rectificación.
Por último, indicar que para el supuesto (bastante habitual) en el que la solicitud de rectificación no reúne los requisitos reseñados, el responsable del fichero procederá a solicitar su subsanación.
Áudea Seguridad de la Información – www.audea.com
La LOPD establece como regla general que los datos de carácter personal sólo podrán ser cedidos o comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente (el centro sanitario) y cesionario con el previo consentimiento del interesado.
Sin embargo, esta regla general no resulta aplicable si existe una Ley autoriza la cesión (o comunicación de datos), es decir, no sería necesario el consentimiento para que los datos clínicos pudieran ser cedidos. Pensemos, por ejemplo, en la cesión o comunicación a los jueces y tribunales. El ejemplo que hemos puesto se concreta en la Ley 41/2002 de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica, que regula el acceso a la historia clínica con fines de investigación judicial.
En relación al archivo de historiales clínicos, los criterios básicos de archivo están contenidos en la citada Ley 41/2002, que establece que cada centro sanitario archiva las historias clínicas de sus pacientes, con independencia de su soporte, de manera que esté garantizada su seguridad, y correcta conservación.
Según esta Ley, cada historia clínica se llevará con criterios de unidad y de integración para facilitar el mejor conocimiento por parte de los profesionales sanitarios de los datos personales de un determinado paciente.
Áudea Seguridad de la Información – www.audea.com
Estas acciones online adolecen de serios problemas, tanto en el ámbito de la Protección de Datos, como en el de los Servicios de la Sociedad de la Información:
Protección de Datos
Para todo tratamiento de datos personales se exige información y consentimiento previos al tratamiento. Asimismo, debe informarse y obtener el consentimiento de cualquier afectado cuando sus datos vayan a ser revelados a un tercero.
En las campañas de “envía a un amigo”, se tratan datos del destinatario sin haber informado ni obtenido su consentimiento. Además, se revela al destinatario el nombre del remitente.
Servicios de la Sociedad de la información
Para el envío de comunicaciones comerciales por medios electrónicos, se exige haber obtenido un consentimiento expreso del destinatario.
Sin embargo, no se consideran comunicaciones comerciales electrónicas “los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio”
Solución recomendada
Informar al remitente de que sus datos van a ser comunicados al destinatario y responsabilizarle de consentir en nombre del destinatario. En todo caso, los datos deben ser eliminados tras el envío:
“Sus datos serán comunicados al destinatario. Sus datos y los del destinatario serán procesados y eliminados inmediatamente tras el envío. Usted consiente en nombre del destinatario el envío de este contenido por email”
El contenido del email debe ceñirse a la excepción de la normativa para que no sea una comunicación comercial, sin logos, marcas, ni textos comerciales de ningún tipo. Por ejemplo:
Asunto: Recomendación de [nombre del amigo]
Contenido: [URL recomendada]
Áudea Seguridad de la Información
El pasado 27 de julio el Tribunal Supremo dio a conocer tres sentencias (sobre los recursos contenciosos administrativos 23/2008, 25/2008 y 26/2008) en que se declaran nulos, por ser contrarios a derecho, los artículos 11, 18, 38. 2, y 123.2 así como de la última frase del artículo 38.1.a), del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RLOPD y LOPD, respectivamente).
El Tribunal considera que el artículo 11 del RLOPD que permitía la verificación por las Administraciones Públicas de datos en solicitudes formuladas por los ciudadanos sin requerir consentimiento de estos, habilita una cesión de datos al margen de los supuestos autorizados por los artículos 6 y 11 de la LOPD. La declaración de nulidad del precepto conlleva una garantía de protección de los datos de personas físicas ante la gestión de las Administraciones Públicas, pero también una incomodidad para el ciudadano, que deberá volver a declarar los datos personales de que se trate o acreditar su autenticidad. Este problema podría resolverse incorporando en los formularios que rellenen los ciudadanos una autorización expresa para la verificación o comunicación de datos por parte de la Administración correspondiente.
El Tribunal declara nulo el artículo 18 del RLOPD (“Acreditación del cumplimiento del deber de información”) por imponer al responsable del fichero, ilegítimamente y sin respaldo en la LOPD, la obligación de la constancia documental o acreditación del deber de información al afectado. El Supremo expresa que la LOPD “ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) (…). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma”. La Sentencia suprime, con este artículo, dos obligaciones: la de informar por un medio que permita acreditarlo, y la de conservar el soporte en el que conste el cumplimiento del deber de informar.
En el artículo 38 (sobre requisitos para la inclusión de los datos en ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado) se expresa que es requisito para esa inclusión la “existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada”. Se elimina la frase “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”. La supresión de esta frase, por defectuosa redacción e inconcreción de su contenido (ya que permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero), afecta a la defensa del ciudadano ante las prácticas de empresas que ante una deuda incluyen los datos de sus “deudores” en un fichero de morosos por deudas sobre cuya existencia o cuantía puede haber discrepancia.
La declaración de nulidad del artículo 38.2 beneficia a las empresas y demás responsables de fichero, ya que este párrafo trasladaba a estos la carga de la prueba de la concurrencia de los requisitos del artículo 38.1 en términos que originan una inseguridad jurídica que podría dar lugar a apertura de expedientes sancionadores. Sin embargo, para el ciudadano aumenta la desprotección, ya que no puede combatir la presunción del declarante. Deberá seguir observándose el derecho a la impugnación de las valoraciones (art. 13 LOPD), “Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad”, debiendo admitir las empresas titulares de ficheros de solvencia patrimonial la impugnación de las deudas inscritas y del acceso de entidades a los datos, por ejemplo, para decidir la denegación de crédito.
Por último, el artículo 123.2 (“Personal competente para la realización de actuaciones previas”) trata la potestad de designación del Director de la AEPD en relación con supuestos excepcionales no delimitados, con una falta de concreción que supone una libertad de designación incompatible con el limitado y específico de la encomienda de gestión de los artículos 35, 37 y 40 de la LOPD.
Áudea, Seguridad de la Información
www.audea.com
La grabación de la imagen de un usuario del centro de atención de personas con minusvalías psíquicas y físicas es un dato de carácter personal, siendo éste el criterio seguido por la Agencia Española de Protección de Datos.
La captación y grabación de imágenes con la finalidad de control se encuentra sometida a lo dispuesto en la normativa de protección de datos, en particular a si los “afectados” resultan identificables en pasillos (y zonas de tránsito) dónde se captan las imágenes.
Desde Áudea entendemos que si la captación de imágenes no desborda el ámbito de vigilancia y control de los usuarios, el nivel de seguridad que resulta de aplicación es básico; no obstante, si la captación de las imágenes se emplea con la finalidad de valorar comportamientos, entendemos que el nivel de seguridad aplicable es, al menos, medio.
La instalación de cámaras de video vigilancia en pasillos y zonas de tránsito del centro sólo deberá realizarse si resulta adecuado e implica una mínima afectación de los derechos fundamentales de los usuarios.
Entendemos, siguiendo el propio criterio de la propia AEPD, que si los usuarios o el personal encargado de su cuidado pudiera correr peligro, la medida de instalar cámaras de video vigilancia podría entenderse como necesaria y proporcional, siempre y cuando se limitase estrictamente a ésta (y no a otra) finalidad. No obstante, como señala la AEPD sería necesario atender a las circunstancias particulares.
En Áudea recomendamos que las cámaras de video vigilancia respeten el principio de proporcionalidad, ubicándose éstas en los pasillos (o zonas de tránsito del centro) y orientándose de modo tal que no capten imágenes en dependencias. Por lo tanto, la zona objeto de video vigilancia será la mínima imprescindible y, lógicamente (además de la Ley es preciso aplicar el sentido común) las cámaras de video vigilancia no deben registrar espacios protegidos por el derecho fundamental a la intimidad: vestuarios del personal, baños, vestuarios, etc. prohibición que como recogen recientes noticias en la prensa, no siempre se tiene en consideración.
Áudea Seguridad de la Información
ww.audea.com
El cumplimiento de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, es un imperativo legal emanado del marco normativo de la Unión Europea ligado a la regulación de diversos aspectos de los servicios de la sociedad de la información y del comercio electrónico en el mercado interior.
La incorporación de Internet a la vida económica y social ofrece innumerables ventajas, como la mejora de la eficiencia empresarial, el incremento de las posibilidades de elección de los usuarios y la aparición de nuevas fuentes de empleo. Pero la implantación de Internet y las nuevas tecnologías tropieza con algunas incertidumbres jurídicas, que es preciso aclarar con el establecimiento de un marco jurídico adecuado, que genere en todos los actores intervinientes la confianza necesaria para el empleo de este nuevo medio.
Precisamente, la LSSI pretende que se puedan aplicar las normas tradicionales a las mismas actividades realizadas por medios electrónicos, ocupándose tan sólo de aquellos aspectos que, ya sea por su novedad o por las peculiaridades que implica su ejercicio por vía electrónica, no están cubiertos por dicha regulación tradicional.
Áudea aplica una metodología de análisis consolidada gracias a la experiencia adquirida en los numerosos proyectos realizados y las sugerencias de mejora de nuestros clientes, lo que nos permite obtener unos resultados objetivos, concretos y útiles para las organizaciones.
Beneficios
La aplicación de nuestra metodología de análisis y evaluación de la situación con respecto a la normativa de protección de datos permite al cliente:
• Contar con un análisis completo de la situación en relación con la normativa vigente.
• Evitar la imposición de sanciones, costes legales y responsabilidades.
• Aumentar la confianza con respecto a sus clientes.
• Incrementar la coherencia en las actuaciones de la organización en el tratamiento de una información que forma parte esencial de sus activos.
En definitiva, permite establecer el primer elemento para alcanzar una cultura de la seguridad y una excelencia en el tratamiento de la información en todos sus procesos de negocio.
Para más información contacte con nosotros en el 91.7451157 o mediante correo electrónico a info@audea.com.
Áudea Seguridad de la Información
http://www.audea.com/
El procedimiento general de alta de usuarios que debe considerarse en el Documento de Seguridad de cualquier entidad es aplicable a todos los ficheros y aplicaciones de los sistemas de información del Responsable del Fichero.
Consideramos que el alta de usuarios debiera integrar los siguientes puntos:
1.- Detallar en la solicitud los accesos que se precisan, según las funciones que vaya a desempeñar, mediante la cumplimentación del formulario de solicitud de alta, baja o modificación de acceso que deberá tener cada Responsable del Fichero.
2.- Para que el proceso de alta de usuario se realice correctamente, es preciso cumplimentar una serie de apartados:
a. Nombre y apellidos del interesado.
b. Dirección, área, departamento al que pertenece el solicitante.
c. Servicio para el que se solicita el acceso.
d. Fecha de la solicitud.
e. Firma del responsable.
Áudea Seguridad de la Información
http://www.audea.com/
El auge de las redes sociales, impulsado al hilo del éxito social de plataformas como Facebook o Tuenti y, en menor medida My Space, está generando nuevas propuestas que en algunos casos aún están produciendo problemas en relación con la seguridad de la materia prima con la que trabajan: los datos de los usuarios registrados. Entre ellas, destaca el caso de Shtyle.fm.
Shtyle.fm es un sitio web que se presenta como un híbrido de mundo virtual y red social sobre la que todavía escasea la información en la Web. Empleando como dominio de nivel superior geográfico (ccTLD) el .fm, asignado en un principio para los Estados Federados de Micronesia pero que suelen adquirir estaciones o webs de radio, en principio la página parece ser creación de un emprendedor de Tulsa, Oklahoma, y expone una política de privacidad en la que se afirma que “Shtyle no revelará a tercero alguno el nombre o la información de contacto de los miembros”; sin embargo en la práctica esto no está siendo cierto, ya que ya se han producido quejas de que la red emplea los datos de los usuarios registrados para conseguir nuevos registros y expandirse. El envío de e-mails a contactos del correo del registrado estaría produciéndose sin consentimiento de este ni del destinatario, lo que constituiría a la luz de la normativa europea sobre protección de datos un claro caso de spam y de cesión no consentida de datos de carácter personal, además de la gravedad del hecho de enviar una solicitud de amistad simulando que es enviada por el usuario registrado sin que este haya mostrado tal intención.
En Estados Unidos, no obstante, se admite que se pueda emplear la lista de direcciones del correo de un usuario para hacer este tipo de envíos en el caso de que dicho usuario no restrinja su privacidad al darse de alta en el sitio del que se trate. Posibilidad que no cabe de ningún modo en el caso europeo.
María Teresa Nevado García de la Cruz
Áudea Seguridad de la Información
www.audea.com
Recientemente, la Agencia Española de Protección de Datos ha impuesto una sanción de 6.000 euros a Telefónica por dar de alta a un cliente en el servicio de ADSL que nunca había solicitado. Además, para poder anular los servicios que supuestamente había contratado, antes tuvo que pagar una factura por dispositivo que no había pedido.
Tras una denuncia que se formuló a través de la Asociación de Consumidores de Navarra Irache, la Agencia Española de Protección de datos procedió a realizar las pertinentes investigaciones en los que descubrió las irregularidades cometidas por la compañía de telecomunicaciones.
La persona afectada recibió en noviembre de 2007 en su domicilio un router de Telefónica sin haberlo pedido. Entonces disponía de línea fija, contratada con Telefónica, y servicio de Internet a través de la empresa Ya.com. El afectado contactó con Telefónica para solicitar una explicación y le replicaron que la supuesta contratación de había realizado por teléfono.
Pese a reiterar que no había contratado nada ni por teléfono ni por ningún otro medio, el afectado tuvo que darse de baja dos semanas más tarde y aún así recibió una factura de Telefónica por importe de 92,65 euros que incluían servicio ADSL, traspaso de línea y compra de módem.
La Agencia Española de Protección de Datos ha considerado que Telefónica ha cometido una infracción al no probar que el denunciante haya prestado el consentimiento inequívoco necesario para que dicha compañía pudiese tratar sus datos. No obstante se valoró también que Telefónica “regularizó la situación creada de forma diligente y en un tiempo prudencial” tras haber recibido la reclamación por lo que fue considerada como falta leve.
FUENTE: WWW.DIARIDENAVARRA.ES
