Como se ha indicado en otras ocasiones, el derecho de rectificación tiene carácter personalísimo, lo que significa que solamente podrá ejercerlo el titular de los datos, acreditando previamente su representación.
Para ejercer este derecho, el titular o afectado de los datos de carácter personal ejercitará ante el responsable del fichero, acreditando su identificación y la del fichero/s que desea consultar. En esta petición se incluirá, al menos, la siguiente información:
? La propia solicitud de rectificación, indicando los datos erróneos y la corrección que corresponda.
? El nombre y apellidos del afectado.
? El domicilio a efectos de contestación postal.
? La fecha.
? La firma.
? Fotocopia del DNI.
? Otra documentación que acredite su petición de rectificación.
Por último, indicar que para el supuesto (bastante habitual) en el que la solicitud de rectificación no reúne los requisitos reseñados, el responsable del fichero procederá a solicitar su subsanación.
Áudea Seguridad de la Información – www.audea.com
El pasado 27 de julio el Tribunal Supremo dio a conocer tres sentencias (sobre los recursos contenciosos administrativos 23/2008, 25/2008 y 26/2008) en que se declaran nulos, por ser contrarios a derecho, los artículos 11, 18, 38. 2, y 123.2 así como de la última frase del artículo 38.1.a), del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RLOPD y LOPD, respectivamente).
El Tribunal considera que el artículo 11 del RLOPD que permitía la verificación por las Administraciones Públicas de datos en solicitudes formuladas por los ciudadanos sin requerir consentimiento de estos, habilita una cesión de datos al margen de los supuestos autorizados por los artículos 6 y 11 de la LOPD. La declaración de nulidad del precepto conlleva una garantía de protección de los datos de personas físicas ante la gestión de las Administraciones Públicas, pero también una incomodidad para el ciudadano, que deberá volver a declarar los datos personales de que se trate o acreditar su autenticidad. Este problema podría resolverse incorporando en los formularios que rellenen los ciudadanos una autorización expresa para la verificación o comunicación de datos por parte de la Administración correspondiente.
El Tribunal declara nulo el artículo 18 del RLOPD (“Acreditación del cumplimiento del deber de información”) por imponer al responsable del fichero, ilegítimamente y sin respaldo en la LOPD, la obligación de la constancia documental o acreditación del deber de información al afectado. El Supremo expresa que la LOPD “ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) (…). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma”. La Sentencia suprime, con este artículo, dos obligaciones: la de informar por un medio que permita acreditarlo, y la de conservar el soporte en el que conste el cumplimiento del deber de informar.
En el artículo 38 (sobre requisitos para la inclusión de los datos en ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado) se expresa que es requisito para esa inclusión la “existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada”. Se elimina la frase “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”. La supresión de esta frase, por defectuosa redacción e inconcreción de su contenido (ya que permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero), afecta a la defensa del ciudadano ante las prácticas de empresas que ante una deuda incluyen los datos de sus “deudores” en un fichero de morosos por deudas sobre cuya existencia o cuantía puede haber discrepancia.
La declaración de nulidad del artículo 38.2 beneficia a las empresas y demás responsables de fichero, ya que este párrafo trasladaba a estos la carga de la prueba de la concurrencia de los requisitos del artículo 38.1 en términos que originan una inseguridad jurídica que podría dar lugar a apertura de expedientes sancionadores. Sin embargo, para el ciudadano aumenta la desprotección, ya que no puede combatir la presunción del declarante. Deberá seguir observándose el derecho a la impugnación de las valoraciones (art. 13 LOPD), “Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad”, debiendo admitir las empresas titulares de ficheros de solvencia patrimonial la impugnación de las deudas inscritas y del acceso de entidades a los datos, por ejemplo, para decidir la denegación de crédito.
Por último, el artículo 123.2 (“Personal competente para la realización de actuaciones previas”) trata la potestad de designación del Director de la AEPD en relación con supuestos excepcionales no delimitados, con una falta de concreción que supone una libertad de designación incompatible con el limitado y específico de la encomienda de gestión de los artículos 35, 37 y 40 de la LOPD.
Áudea, Seguridad de la Información
www.audea.com
El Servicio Andaluz de de Salud comete una torpeza al imprimir en un volante de una cita, con los datos confidenciales de otros pacientes.
Esta vez ha sido el Hospital Virgen de las Nieves de Granada responsable de entregar documentos con citas que contenían datos confidenciales de otros pacientes citados en la misma consulta.
Una reclamación de un ciudadano por el defectuoso funcionamiento del servicio de atención al paciente se convirtió también en una queja pública, puesto que en reverso de la hoja de su próxima cita aparecían datos personales como nombres, números de historias clínicas, teléfonos y números de seguridad social de otros enfermos citados en la misma consulta.
A todas luces se ha cometido una infracción de comunicación de datos no autorizada. Recordemos que para ceder cualquier dato personal a tercero, hay que contar con su consentimiento y cuando se trata de datos de salud de forma expresa.
La dirección del centro alega que, todo se “debe a un error puntual” ya que todos los papeles con datos confidenciales “se trituran, por tanto entendemos que debió de haber un error humano a la hora de usar una hoja de papel que tenía datos privados de enfermos”.
Este es el ejemplo como, en algunos casos la Administración persiguiendo las políticas ecologistas, de ahorro y reciclaje de papel, se olvida de las más fundamentales medidas de seguridad o incluso de sentido común, más teniendo en cuenta que los centros sanitarios manejan datos de salud y están obligados a implantar las medidas de seguridad de nivel alto.
No olvidemos también de la importancia de concienciar al personal, especialmente el administrativo y de servicios generales que no se rige por sus normas deontológicas.
De momento, no hay denuncia oficial interpusta, sólo una reclamación ante la oficina del usuario.
En 2001, Granada se situó entre las diez provincias más investigadas del país por numerosos casos del uso ilegal de datos en el ámbito sanitario.
FUENTE: www.ideal.es
Áudea Seguridad de la Información
www.audea.com
La Agencia Española de Protección de Datos ha emitido una resolución a través de la cual califica de grave la infracción por la academia de Policía de Santa Cruz de la normativa vigente en materia de protección de datos de carácter personal; esta infracción se corresponde con la aparición en 2008 en unos contenedores de basura de datos personales sobre policías locales de Santa Cruz que habían participado en un curso de ascenso, capacitación y reciclaje en el año 2001. Asimismo la Agencia requiere ahora a la Academia de Policía para que adopte las medidas de orden interno que impidan que en el futuro vuelva a ponerse en peligro la protección de los datos de carácter personal que trata la Academia.
Fuente: www.todonoticiaslopd.com
Las farmacias vascas participarán desde el 3 de mayo, y a lo largo de todo el año 2010, en una iniciativa que tiene intención de prolongarse en el tiempo. Conforme a la Ley de protección de datos, la campaña solicita a las farmacias que transmitan a los pacientes la retirada de cualquier dato personal añadido a las radiografías antes de entregarlas en la farmacia.
Efectivamente, entendemos de especial importante la eliminación de cualquier dato de carácter personal que figure en las radiografías (partiendo de la base que la propia radiografía ya es, en sí misma, un dato de carácter personal) antes de su entrega a las farmacias para su reciclaje.
Los datos de carácter personal asociados a la radiografía y recogidos por el hospital o centro de salud debieron ser, lógicamente, necesarios para el objetivo clínico para el que fueron recabados y, habiendo dejado de ser necesarios, podrá procederse (por decisión del paciente titular de los datos) a su eliminación.
Entendemos que, desde el punto de vista de la seguridad de las farmacias receptoras de radiografías, sería conveniente que las empresas que realizan el reciclaje presentasen un certificado acreditativo de la efectiva destrucción de las mismas.
Áudea Seguridad de la Información
http://www.audea.com/
Más que nunca se hace necesario cambiar a menudo las contraseñas de nuestros perfiles en las redes sociales. La red social más atacada por los piratas informáticos, debido sin duda a su afluencia de usuarios y visitantes, es la red de Mark Zuckerberg: Facebook. En efecto, el interés por acceder a cuentas robadas de personas desconocidas no es sino el de lograr información de los amigos del perfil asaltado y expandir el envío de spam, más evidente y detectable para el usuario que la recepción de correos electrónicos no deseados de remitentes tanto conocidos como desconocidos por el receptor. Los cibercriminales emplean también las cuentas robadas para pedir dinero a los contactos usurpando la identidad del usuario que sufrió el robo de la cuenta, o para recomendar sitios de Facebook en los que previamente han instalado malware para contagiar los ordenadores y dispositivos que accedan al sitio. Como un fruto del árbol podrido que constituye este nuevo “negocio” nace el interés de los cibercriminales por comprar y vender cuentas usurpadas de Facebook. Por ejemplo, el pirata informático conocido como “Kirllos” ha puesto a la venta en los últimos días el acceso a un millón y medio de cuentas de la red social Facebook, de las cuales se calcula que puede haber vendido ya 700.000 perfiles. La protección de la intimidad de los usuarios es hoy más que nunca el caballo de batalla de las redes sociales, ya que en la confianza de éstos en su sistema reside la viabilidad y el futuro de la propia red social.
Áudea Seguridad de la Información
La Agencia Española de Protección de Datos (AEPD) ha abierto un expediente contra el Ayuntamiento de O Grove que, en caso de resolverse en contra de la Administración local, puede dar lugar a una sanción de entre 600 y 60.000 euros, por una infracción leve de la normativa en materia de protección de datos, y a otra sanción entre 60.000 y 300.000 euros por una infracción grave de la misma normativa. Ambas sanciones serían el resultado de la acción del edil de Deportes del Ayuntamiento, que podría haber difundido detalles sobre el empadronamiento de un piragüista, lo que dio lugar a la intervención de la AEPD.
Fuente: www.todonoticiaslopd.com
El Ministerio del Interior acaba de recibir una importante reprobación de la Agencia Española de Protección de Datos (AGPD) por los protocolos que la Guardia Civil tiene para notificar la baja definitiva de uno de sus miembros por razones psicológicas. Un ex agente gallego, adscrito al municipio pontevedrés de A Estrada, denunció la falta de medidas de seguridad con la que se le trasladó el expediente, en mano, en la calle y en un sobre abierto, según su testimonio, y el departamento que dirige Alfredo Pérez Rubalcaba se está planteando “modificar el actual procedimiento” tras la declaración de infracción muy grave contra el Ministerio del Interior por parte de la AGPD –al tratarse de una Administración, no hay multa económica, pero sí una comunicación al Defensor del Pueblo y la exigencia de que se tomen medidas que aseguren que no vuelva a ocurrir– recomienda que emplee otro tipo de acuses de recibo externo, “como el usado por Correos”, o algún otro “que permita la descripción más completa del contenido de la notificación sin desvelar su texto completo”. El ministerio ha respondido a la AEPD que se estudiarán opciones alternativas para adaptarse a la ley.
Fuente: www.todonoticiaslopd.com
Según publica el Business Insider, el fundador de Facebook, que también es el Consejero Delegado de la empresa, Mark Zuckerberg, podría haber aprovechado la información de autenticación de algunos usuarios para sus propios fines.
Al parecer, al menos en una ocasión Zuckerberg habría utilizado datos privados provenientes de los servidores de Facebook para acceder a las cuentas de correo de algunos competidores y periodistas. En un principio, el fundador de Facebook habría estado robando información a Cameron Winklevoss, Tyler Winklevoss, y Divya Narendra, que estaban poniendo en marcha una red de carácterísticas similares a Facebook. Los tres acusaron a Zuckeberg de haberles estado engañando pretendiendoles hacer creer que colaboraría con ellos en el proyecto que tenían en marcha.
Con posterioridad, el acceso no autorizado habría tenido lugar en las cuentas de correo de varios estudiantes del periódico The Harvard Crimson, que estaban escribiendo un artículo precisamente sobre la posibilidad de que hubiera existido plagio por parte del fundador de Facebook. Las credenciales de acceso a las cuentas de correo electrónico podrían haber sido obtenidas desde los propios logs de facebook.com.
Áudea Seguridad de la Información
www.audea.com
En contradicción con la máxima empresarial que reza “vale más pedir perdón que pedir permiso” (en clara referencia a que los perjuicios derivados de una actividad ilícita suelen ser inferiores a los beneficios obtenidos), inauguramos esta sección del blog para concienciar a las empresas de que, en protección de datos, esta máxima no tiene fundamento, ni siquiera cuando la infracción se comete por accidente o imprudencia.
Principio de Calidad de los Datos
El artículo 4 de la LOPD, referente al Principio de Calidad de los Datos, prohíbe, entre otras cosas, tratar datos obsoletos o inexactos.
Algo que tradicionalmente se hubiese salvado con una disculpa más o menos formal, y quizá una pequeña compensación económica, puede convertirse en una sanción de 60.000 euros, como la que recayó sobre Bankinter en el Procedimiento Sancionador PS/00173/2009.
Un error administrativo al modificar un código de cuenta corriente sobre el que operaba una tarjeta de crédito, hizo creer al personal de Bankinter que D. R.R.R. adeudaba la cantidad de 183,02 euros, por lo que le incluyeron en un fichero de morosos sin exigir una deuda cierta, vencida y exigible.
“En el presente caso, ha quedado acreditado que Bankinter instó el alta de los datos relativos al denunciante en el fichero Asnef-Equifax y Badexcug-Experian sin haber acreditado que la deuda que se requiere de pago al denunciante es cierta, vencida y exigible de forma indubitada. El impago se produce por una tramitación defectuosa del cambio –comunicado por el afectado- de ccc de domiciliación de pagos de la tarjeta. La responsabilidad es solo de la entidad bancaria. En consecuencia, los datos sobre impagados asociados al afectado por la empresa de recobro primero y por los ficheros de insolvencia patrimonial después no son exactos y puestos al día.
Siendo esto así, Bankinter hizo uso de unos datos inexactos. Estos hechos son contrarios al principio de calidad de datos y, por tanto, contravienen lo dispuesto en el artículo 4.3 de la LOPD.”
La consecuencia de tratar datos inexactos es un incumplimiento del “cajón de sastre” del régimen sancionador de la LOPD, que es el artículo 44.3d):
“La infracción del artículo 4.3 de la LOPD se halla tipificada como grave en el artículo 44.3.d) de dicha norma, que considera como tal (grave), ‘Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.’”
En otras palabras, cualquier cosa que no esté sancionada expresamente como leve o muy grave, es grave… y en consecuencia…
“El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Bankinter SA, por una infracción del artículo 4.3 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros y veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.”
COMENTARIO: Evidentemente, no es agradable que a uno le incluyan en un fichero de morosos, y menos aún cuando es falso, pero lo cierto es que no hay forma de prevenir errores o accidentes en caso de tratamientos masivos de información, y resulta excesivo que un error suponga una sanción de 60.000 euros.
José Carlos Moratilla
Áudea Seguridad de la Información
www.audea.com
