La globalización obliga a los Estados a defender a las personas de intromisiones en su intimidad. Este derecho afecta también a los trabajadores y las empresas a vigilar el cumplimiento de la legislación de protección de datos, que limita la información a las empresas del propio grupo y a los representantes sindicales, bajo severas medidas sancionadoras.
A la hora de analizar los datos que la empresa puede facilitar a la matriz de su grupo empresarial, a los representantes sindicales o a terceras personas es preciso tener en cuenta que la Agencia Española de Protección de Datos (Aepd), respaldada por la Audiencia Nacional en reiteradas sentencias, considera que el tratamiento de los datos limitados tan sólo al número de identificación fiscal (NIF) o del documento nacional de identidad (DNI) de un individuo, ya implican un tratamiento de datos de carácter personal.
Incluso, en un informe de 8 de febrero de 2007, la Aepd consideró que también lo es el simple tratamiento limitado al número de la matrícula de los vehículos, el de las direcciones IP, estáticas o dinámicas, o la dirección de correo electrónico, incluso cuando no identifiquen directamente al interesado.
El hecho de que el éste no aparezca identificado en un fichero por su nombre y apellidos no supone que no contenga datos de carácter personal si la identificación puede o podría tener lugar con posterioridad a su recogida. En este sentido se ha pronunciado el Grupo de Autoridades de Protección de Datos (Gapd), al que pertenece la Agencia Española de Protección de Datos en su Dictamen 4/2007 (de 20 de junio) sobre el concepto de datos personales.
"Una persona puede ser identificada directamente por su nombre y apellidos o indirectamente por un número de teléfono, la matrícula de un coche, un número de seguridad social, un número de pasaporte o por una combinación de criterios significativos (edad, empleo, domicilio, etc.), que haga posible su identificación al estrecharse el grupo al que pertenece", afirma en el citado informe el Gapd.
Empresa matriz y participadas
La circunstancia de que una sociedad esté participada por otra, no afecta al hecho de que ambas sean distintas personas jurídicas, de modo que la comunicación de datos se produce entre dos personas distintas, sin que exista una previsión legal que flexibilice los requisitos de cesión.
Cada una de las empresas del grupo será responsable del fichero de datos de sus empleados. Y si por parte de alguna de las empresas del grupo se produce un acceso a los datos de cualquiera de las otras que componen dicho grupo o se crea una base de datos común, se crearía una situación clara de comunicación de carácter inconsentido.
Por ello, la incorporación de los datos de los empleados a una base de datos común, exige que cada empresa haya informado debidamente y obtenido el consentimiento de éstos para incorporar su información personal. Dicho consentimiento tiene, no obstante, el carácter de revocable.
Así, ocurre con los datos de salud de los empleados de una empresa filial. Para su cesión a la matriz es necesaria la información y que haya obtenido el consentimiento expreso de éstos para la incorporación de su información personal a la base de datos de la matriz del grupo.
'Listas negras' de empleo
Salvando aquellos supuestos en que las listas negras tienen de alguna manera una base legal, como sucede en el derecho español con los ficheros de solvencia patrimonial y crédito regulados en la propia Lopd, la inclusión de datos personales en un lista negra requeriría el consentimiento del interesado para ser conforme a lo dispuesto en la normativa de protección de datos.
Además, se debe garantizar a los afectados por el tratamiento, los derechos de acceso, rectificación, oposición y cancelación correspondientes. No puede entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre.
Entrega al Comité de Empresa
La única cesión prevista en la Ley de los datos referentes a los trabajadores es la derivada de las facultades atribuidas a los representantes de los trabajadores es decir, al Comité de Empresa, a los delegados de personal, según proceda.
Los datos a ceder al Comité deben ser necesarios y proporcionados para la vigilancia del cumplimiento de las normas y pactos que regulan la relación laboral, de modo que en la petición de los datos debe aclararse la necesidad concreta para la que se precisa tal información, pues de no ser así, se daría un tratamiento desproporcionado o innecesario.
Están amparadas en el ámbito de las competencias reconocidas por el Estatuto de los Trabajadores o en el convenio colectivo en vigor para los representantes de los trabajadores. En caso contrario, será necesario el consentimiento del interesado para proceder a la comunicación de sus datos.
Sólo cuando la vigilancia o el control se refieran a un sujeto concreto, que haya planteado una queja ante el Comité, será posible la cesión de datos de dicha persona. En los demás supuestos, la función de control quedará plenamente satisfecha mediante la cesión de la información debidamente disociada, que permita al Comité conocer las circunstancias pertinentes sin referenciar la información en un sujeto concreto.
No obstante, podrían ampararse las cesiones relativas a la relación de horas extraordinarias de los trabajadores si el convenio colectivo aplicable contempla la cesión genérica de la relación, y lo mismo cabe decir sobre la comunicación de las nóminas.
También, lo es la comunicación de datos referidos al cumplimiento nominativo del horario y de las ausencias al trabajo, así como de los permisos sin sueldo de los trabajadores, que en su conjunto hacen referencia al nivel de absentismo de los mismos.
Cuando no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley o convenio no disponga lo contrario, éste podrá oponerse a su tratamiento si existen motivos fundados y legítimos relativos a una situación personal concreta.
Comité Intercentros
Los datos personales de los trabajadores que formulan una reclamación de daños y perjuicios al Comité Intercentros de su empresa, no pueden ser comunicados a un sindicato que tiene representación en dicho Comité con la finalidad de entablar contacto entre el Sindicato y los reclamantes, salvo que así se reconozca expresamente en el convenio colectivo,.
Los representantes de los trabajadores, del Comité, que si tendrán acceso a esta información, están obligados a la guardar sigilo profesional sobre los datos personales que conozcan en el desarrollo de sus funciones en el ámbito de la empresa.
Prevención de accidentes
Los datos que hagan referencia al origen racial, a la salud y a la vida sexual sólo pueden recabarse, tratarse y procederse a su cesión cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente.
La Ley de Prevención de Riesgos Laborales establece que los representantes de prevención de riesgos deben ser informados por el empresario sobre los daños producidos en la salud de los trabajadores una vez que haya tenido conocimiento de ellos,
Tanto la relación de accidentes de trabajo como la información sobre los daños en la salud que aparezcan en los partes de accidentes de trabajo de los trabajadores que determinen una ausencia al trabajo superior a un día, pueden facilitarse a los delegados de prevención de forma disociada, siempre que los datos que se comuniquen respeten los principios de pertinencia y no sean excesivos sobre el ámbito y finalidades legítimas para las que se hayan obtenido.
Estos datos no pueden usarse para finalidades incompatibles con las finalidades para las que los datos hubieren sido recogidos y, además, los delegados de prevención deben guardar secreto respecto de la información así obtenida.
Ayudas sociales
Para que el listado de ayudas sociales a los trabajadores pueda ser facilitada a los representantes sindicales es preciso que esté regulada en el convenio colectivo , ya que de preverse que para la solicitud, tramitación, aprobación o denegación de las ayudas sea precisa la intervención del Comité de Empresa, la información solicitada a la empresa al respecto no podría ampararse legalmente.
No obstante, la función de vigilancia y control podría entenderse correctamente cumplida sin necesidad de proceder a una información masiva. Sólo en el supuesto aquellas se refieran a un sujeto concreto, que haya planteado una queja ante el Comité de Empresa, será posible la cesión de datos específicos de dicha persona. En los demás supuestos, la función de vigilancia y control quedarán satisfecha con la cesión de la información debidamente disociada,
Partes de baja
Entre las funciones que se le atribuyen a los delegados sindicales no está la de acceder a la información de quienes están de baja, por lo que podrán acceder a ella cuando consientan los afectados.
Si el parte de baja recoge datos de salud sólo podrá ser comunicado cuando una Ley lo prevea expresamente o si los afectados otorgan su consentimiento expreso. Por lo que el acceso de los delegados a los partes de baja, sólo podrá efectuarse cuando los afectados consientan expresamente.
No obstante, todo lo señalado es aplicable a la comunicación del parte de baja, cuando en él consta la causa de la baja laboral. Cuestión distinta, es si la información que aparece en el tablón y a la que posteriormente accede el delegado sindical, es a los días que los empleados han estado de baja, sin que en ningún caso acceda al propio parte de baja.
Fuente: Ecodiario
echa: 13/12/2010
martes, 14 de diciembre de 2010
La LOPD y la videovigilancia de los parkings subterráneos públicos
Como regla general, los parkings subterráneos públicos incorporan un sistema de videovigilancia (CCTV) formado por dos subsistemas independientes: El que se ocupa de la captación y grabación de matrículas de los vehículos que acceden a los estacionamientos, y exigido por la normativa sobre aparcamientos emanada de la Ley 44/2006, modificando la Ley 40/2002 reguladora del Contrato de Aparcamiento de Vehículos que introdujo la obligación de identificar al vehículo que accede al Aparcamiento; y otro, dedicado en exclusiva al control y vigilancia en el interior de los aparcamientos, con fines de seguridad y control de posibles daños a vehículos estacionados o a las instalaciones, como obligación derivada de la Ley 40/2002.
Analicemos la obligación relativa a la identificación del vehículo que accede al estacionamiento. Los Aparcamientos Públicos están obligados a entregar al usuario en papel o en cualquier otro soporte duradero un justificante, donde constará, entre otros datos, los relativos a la hora, día y minuto de entrada así como la identificación del vehículo, que se deberá realizar preferentemente con la matrícula. Respecto a la obligación de control y vigilancia en el interior de los aparcamientos, el titular de estacionamiento tiene la obligación clara de restituir al usuario, en el estado en que le fue entregado, el vehículo y los componentes y accesorios fijos e inseparables al vehículo. Esto significa que la empresa gestora del aparcamiento público es responsable de los daños que sufra el vehículo. La ley establece deberes de vigilancia y custodia de los vehículos durante el tiempo de ocupación del establecimiento, por lo que el titular del aparcamiento responderá de los daños que sufra un vehículo por desprendimientos, inundaciones, etc., como de los daños ocasionados por el robo en el vehículo.
Por lo expuesto, podemos concluir que la captación de imágenes de acceso y para la vigilancia y custodia de los vehículos tiene una fundamentación legal con base en las normas a las que nos hemos referido más arriba.
Por su parte, la AEPD a través de la Instrucción 1/2006 establece en su artículo 1 que “La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras. El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquellas. Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la presente instrucción, sin que ello requiera plazos y/o actividades desproporcionados. Las referencias contenidas en esta Instrucción a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma”.
Además, la Instrucción 1/2006 obliga a las empresas que dispongan de sistemas de captación y/o grabación de imágenes a informar en sitio visible, tanto a empleados como a terceros que acceden a las instalaciones y precisan identificarse, de los parámetros del artículo 5 LOPD, y en todo caso ostentan los afectados los derechos de acceso, rectificación, cancelación y oposición.
Pero debemos plantearnos una cuestión ¿esas imágenes captadas son en todo caso datos de carácter personal?
A este respecto, debemos empezar por ¿qué es un dato de carácter personal? El artículo 5.1.f del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, define datos de carácter personal como “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”.
En ese sentido, se pronuncia el artículo 2.1 de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, en el que identifica a efectos de dicha Directiva como datos personales “toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”. Así mismo el Considerando 26 de esta Directiva se refiere a esta cuestión señalando que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a aquella.
En vista de lo expuesto, ¿es realmente aplicable la Instrucción 1/2006 a todos los casos, extremos y circunstancias de la videovigilancia? ¿Y a la captación de imágenes en parkings subterráneos públicos? El objeto de este análisis es abordar la segunda de las cuestiones.
Para ello, analicemos el concepto de dato personal, según la definición de la LOPD, que requiere la concurrencia de un doble elemento: por una parte, la existencia de información o dato, y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable.
Conforme al Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, se considera identificable una persona física cuando puede determinarse su identidad física, siempre que para su identificación no se requiera un esfuerzo desproporcionado.
Pero, ¿cómo establecer el límite de ese esfuerzo desproporcionado? Ese será el objeto de otro artículo. En el que nos ocupa, nos vamos a centrar en la línea de interpretación en cuanto al ámbito objetivo de aplicación de la LOPD tomada por la Audiencia Nacional en una sentencia que no fue recurrida por la AEPD.
Una sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 17 de septiembre de 2008 (recurso número 353/2007) que estimó el recurso contra la sanción de 60.000€ impuesta por la Agencia Española de Protección de Datos a una empresa prestadora de servicios de descargas a teléfonos móviles. En esta sentencia la Audiencia Nacional considera que la AEPD no había probado que la existencia del número de teléfono móvil por sí solo haga al titular identificable, y por tanto no se le podía aplicar la LOPD.
En esta sentencia se afirma que es evidente que, al no existir ninguna base de datos pública de números de teléfonos móviles asociados a sus titulares, la identificación de los titulares de los datos requiere un esfuerzo desproporcionado; es decir, únicamente podrían identificar a las personas físicas o los operadores de telefonía móvil respecto de sus clientes o aquellas empresas que gestionen datos identificativos asociados a números de móvil.
En este mismo sentido, si se parte de la premisa de que el número de teléfono móvil por sí solo no hace al titular identificable, en nuestra opinión se deberían analizar otros supuestos análogos que tradicionalmente se han considerado como datos de carácter personal por parte del órgano de control, como por ejemplo las direcciones IP, el número de DNI, o la imagen de la persona a pesar de que no contengan ningún dato identificativo complementario sino únicamente porque pertenezcan a una persona física.
En la línea de la Sentencia comentada, tampoco existe una base de datos pública de imágenes que identifiquen a las personas físicas con las que se relacionan dichas imágenes ni tampoco existe una base de datos pública de matrículas de vehículos que relacionen estas con las personas titulares de las mismas. Si esto es así, ¿cuál es la situación de la captación de imágenes en los parking subterráneos públicos?
Pero, ¿dónde está el límite? ¿Se puede considerar, tal y como argumenta la AEPD, que por el mero hecho de descolgar el teléfono se identifica a la persona, o por el mero hecho de la captura de la imagen de una persona, de manera accidental por vigilarse exclusivamente el espacio y los vehículos en cumplimiento de la normativa específica de aplicación, y sin más información de la misma se identifica a la persona?
Y por otra parte, ¿qué argumentos existen para considerar que las imágenes captadas en la videovigilancia de los parkings subterráneos públicos hacen identificables a las personas físicas? ¿Es posible de forma sencilla identificar a una persona física cuando únicamente contamos con una imagen, y en la mayoría de los casos sin la nitidez necesaria para llegar a detalles en sus rasgos?
Realicen una simple prueba para determinar si con el número de DNI o con el nombre y apellidos por sí solos bastaría para identificar a una persona física en las grabaciones de imágenes en el parking. Obtendrán, como hemos obtenido nosotros, resultados negativos en todos los intentos. Por lo tanto, en nuestra opinión, sería necesario un esfuerzo de investigación que podría considerarse “desproporcionado” para lograr la identificación de una persona física a partir de una imagen captada en la videovigilancia dentro de los parkings subterráneos públicos.
En este caso, únicamente podría identificarse a las personas a través de estas imágenes mediante el envío de las mismas al Ministerio del Interior o a los Cuerpos y Fuerzas de Seguridad.
Por lo tanto, podemos concluir que no hay identificación de personas físicas en esta acción de grabación de las imágenes. Sólo se produciría la identificación en las imágenes de las personas físicas en cuestión, en un visionado posterior ah doc promovido por una reclamación o solicitud al efecto en el que se aporten los datos que relacionan a esa persona física con la imagen. Hasta ese momento, la información contenida en la imagen captada es anónima respecto a la persona física que hay detrás de esa imagen. Hay dato pero no se vincula a una persona física.
Otro aspecto a tener en cuenta en esta materia es la necesidad o no de recabar el consentimiento del afectado pero que no vamos a tratar en profundidad.
En este sentido, es necesario que concurra la legitimación, dado que para que el tratamiento de los datos de carácter personal sea lícito, el artículo 6.1 de la LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa” y así lo dispone el artículo 2 de la Instrucción 1/2006,
“1. Sólo será posible el tratamiento de los datos objeto de la presente instrucción, cuando se encuentre amparado por lo dispuesto en el artículo 6.1 y 2 y el artículo 11.1 y 2 de la LOPD.
2. Sin perjuicio de lo establecido en el apartado anterior la instalación de cámaras o videocámaras deberá respetar en todo caso los requisitos exigidos por la legislación vigente en la materia”.
Evidentemente, esto llevaría al absurdo de tener que pedir el consentimiento a cada ciudadano que accede a un local; por ello, la AEPD ha venido entendiendo que existe una Ley que habilita el tratamiento de las imágenes y que por tanto no es necesario solicitar el consentimiento, esta ley es la Ley 23/1992 de Seguridad Privada.
Por lo tanto, en el supuesto de los parkings subterráneos públicos debemos entender que se cumple con el deber de obtener el consentimiento de las personas que transitan por los lugares en los que se encuentran instaladas las cámaras, puesto que se consiente tácitamente al obtener el ticket de acceso al parking público, por ser el momento en el que se inicia la relación prestacional del servicio de parking; y por conformar la seguridad dentro de las instalaciones y de los vehículos una parte integrante de dicha prestación, y que conlleva la videovigilancia de las instalaciones.
Esta situación asentada en la AEPD se ha visto trastocada por la entrada en vigor de la reforma de esta Ley de Seguridad Privada propiciada por la Ley 25/2009 de 22 de diciembre, Ley Omnibus, que ha venido a crear una disposición adicional sexta que establece:
“Exclusión de las empresas relacionadas con equipos técnicos de seguridad.
Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”
Hasta ahora, el artículo 5.1.e de la Ley de Seguridad Privada, disponía que “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Dicha previsión se reiteraba en el artículo 1 del Reglamento de Seguridad privada, aprobado por el Real Decreto 2364/1994, de 9 de diciembre.
Lo que no ha cambiado es la necesidad para la instalación y captación de sistemas de videovigilancia en parking subterráneos públicos de la preceptiva autorización de la Subdelegación/Delegación del Gobierno, con carácter previo a su instalación justificando la adopción de dicha medida en base al principio de proporcionalidad.
De conformidad con la línea argumental expuesta, la captación de imágenes a través de videocámaras constituye un tratamiento de datos personales si las imágenes captadas se refieren a personas físicas identificadas o que puedan ser identificables.
En relación al cumplimiento de las obligaciones establecidas en la Ley 40/2002, reguladora del contrato de aparcamientos de vehículos y sus posteriores modificaciones, la captación y grabación de matrículas de los vehículos que acceden a los estacionamientos y la captación de imágenes de las instalaciones con fines de seguridad y control de posibles daños a vehículos estacionados es una obligación de los gestores o explotadores de estos parkings. Las imágenes captadas por el segundo subsistema únicamente son visualizadas si se produce alguna reclamación por daños o porque lo solicite las fuerzas y cuerpos de seguridad y únicamente bajo el criterio de búsqueda de fecha y hora, siendo imposible la búsqueda individualizada de la imagen de una persona. En este sentido, en cumplimiento de la Ley 44/2006, que modifica la Ley 40/2002 reguladora del Contrato de Aparcamiento de Vehículos y de la relación contractual derivada del servicio de parking, al usuario se le hace entrega de un justificante o resguardo del aparcamiento, con expresión del día y hora de la entrada, la identificación del vehículo y si el usuario hace entrega o no al responsable del aparcamiento de las llaves del vehículo. Esos son los únicos datos que se tratan en el este tipo de aparcamientos.
Las imágenes captadas por las cámaras de videovigilancia son grabadas en un sistema automático de grabación que está configurado para grabar en ciclos periódicos, siendo ese el período máximo de conservación, que nunca superará el periodo de un mes. A estos sistemas de visualización, con carácter general, se accede mediante usuario y contraseña, cuando se produce algún tipo de reclamación por usuarios o requerimiento por parte de los Cuerpos y Fuerzas de Seguridad que resultan imprescindibles para poder identificar a las personas físicas por parte del Responsable del tratamiento en el primer caso, por parte de los Cuerpos y Fuerzas de Seguridad en el segundo. Consiguientemente, dentro del sistema de grabación de imágenes lo único que hay es una acumulación de imágenes tomadas según transcurre el tiempo y que son borradas de manera automática en periodos de tiempo establecidos en el sistema. En este sentido, resulta anecdótico que se pudieran dar situaciones como que en la fecha de contestación a una Hoja de Reclamación de Consumo acerca de la tarifa por hora del parking y por incumplimiento del artículo 5 de la Ley 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, en el caso de que se hubiera producido la grabación de imágenes en las que pudiera aparecer el denunciante, se estuviera produciendo el borrado automático de esas imágenes con la grabación de las nuevas imágenes según la configuración del sistema de grabación.
O en el supuesto de que no se hubiera producido el borrado automático de las imágenes, sólo en ese momento, y nunca antes, por no disponerse de datos complementarios a esas imágenes que identifiquen al titular de ese dato, se podrá identificar a la persona física que está detrás de esa imagen.
Por consiguiente, en la grabación que nos ocupa, no puede considerase que dichas imágenes se destinen a integrarse en un archivo estructurado según criterios específicos relativos a las personas físicas. En todo caso, ha de diferenciarse el derecho a la intimidad y a la propia imagen con el derecho a controlar los datos de carácter personal sin que pueda hacerse una interpretación extensiva y genérica de la LOPD.
Volviendo al concepto de dato personal, según la definición de la LOPD, que requiere la concurrencia de un doble elemento: por una parte, la existencia de información o dato, y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable. Podemos concluir, que en el caso de la videovigilancia en los parkings subterráneos públicos, debemos entender que no hay tratamiento de datos de carácter personal porque no se podría acreditar, que a través de la imagen se identifique al titular de la misma o que a partir de la citada imagen fuese posible tal identificación, de forma que esa imagen ayuno de otras circunstancias que identifiquen o pudiesen permitir identificar al titular de la misma impide que pueda encajarse en la definición legal de dato de carácter personal.
Fuente: Datospersonales.org
Fecha: Diciembre de 2010
Analicemos la obligación relativa a la identificación del vehículo que accede al estacionamiento. Los Aparcamientos Públicos están obligados a entregar al usuario en papel o en cualquier otro soporte duradero un justificante, donde constará, entre otros datos, los relativos a la hora, día y minuto de entrada así como la identificación del vehículo, que se deberá realizar preferentemente con la matrícula. Respecto a la obligación de control y vigilancia en el interior de los aparcamientos, el titular de estacionamiento tiene la obligación clara de restituir al usuario, en el estado en que le fue entregado, el vehículo y los componentes y accesorios fijos e inseparables al vehículo. Esto significa que la empresa gestora del aparcamiento público es responsable de los daños que sufra el vehículo. La ley establece deberes de vigilancia y custodia de los vehículos durante el tiempo de ocupación del establecimiento, por lo que el titular del aparcamiento responderá de los daños que sufra un vehículo por desprendimientos, inundaciones, etc., como de los daños ocasionados por el robo en el vehículo.
Por lo expuesto, podemos concluir que la captación de imágenes de acceso y para la vigilancia y custodia de los vehículos tiene una fundamentación legal con base en las normas a las que nos hemos referido más arriba.
Por su parte, la AEPD a través de la Instrucción 1/2006 establece en su artículo 1 que “La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras. El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquellas. Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la presente instrucción, sin que ello requiera plazos y/o actividades desproporcionados. Las referencias contenidas en esta Instrucción a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma”.
Además, la Instrucción 1/2006 obliga a las empresas que dispongan de sistemas de captación y/o grabación de imágenes a informar en sitio visible, tanto a empleados como a terceros que acceden a las instalaciones y precisan identificarse, de los parámetros del artículo 5 LOPD, y en todo caso ostentan los afectados los derechos de acceso, rectificación, cancelación y oposición.
Pero debemos plantearnos una cuestión ¿esas imágenes captadas son en todo caso datos de carácter personal?
A este respecto, debemos empezar por ¿qué es un dato de carácter personal? El artículo 5.1.f del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, define datos de carácter personal como “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”.
En ese sentido, se pronuncia el artículo 2.1 de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, en el que identifica a efectos de dicha Directiva como datos personales “toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”. Así mismo el Considerando 26 de esta Directiva se refiere a esta cuestión señalando que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a aquella.
En vista de lo expuesto, ¿es realmente aplicable la Instrucción 1/2006 a todos los casos, extremos y circunstancias de la videovigilancia? ¿Y a la captación de imágenes en parkings subterráneos públicos? El objeto de este análisis es abordar la segunda de las cuestiones.
Para ello, analicemos el concepto de dato personal, según la definición de la LOPD, que requiere la concurrencia de un doble elemento: por una parte, la existencia de información o dato, y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable.
Conforme al Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, se considera identificable una persona física cuando puede determinarse su identidad física, siempre que para su identificación no se requiera un esfuerzo desproporcionado.
Pero, ¿cómo establecer el límite de ese esfuerzo desproporcionado? Ese será el objeto de otro artículo. En el que nos ocupa, nos vamos a centrar en la línea de interpretación en cuanto al ámbito objetivo de aplicación de la LOPD tomada por la Audiencia Nacional en una sentencia que no fue recurrida por la AEPD.
Una sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 17 de septiembre de 2008 (recurso número 353/2007) que estimó el recurso contra la sanción de 60.000€ impuesta por la Agencia Española de Protección de Datos a una empresa prestadora de servicios de descargas a teléfonos móviles. En esta sentencia la Audiencia Nacional considera que la AEPD no había probado que la existencia del número de teléfono móvil por sí solo haga al titular identificable, y por tanto no se le podía aplicar la LOPD.
En esta sentencia se afirma que es evidente que, al no existir ninguna base de datos pública de números de teléfonos móviles asociados a sus titulares, la identificación de los titulares de los datos requiere un esfuerzo desproporcionado; es decir, únicamente podrían identificar a las personas físicas o los operadores de telefonía móvil respecto de sus clientes o aquellas empresas que gestionen datos identificativos asociados a números de móvil.
En este mismo sentido, si se parte de la premisa de que el número de teléfono móvil por sí solo no hace al titular identificable, en nuestra opinión se deberían analizar otros supuestos análogos que tradicionalmente se han considerado como datos de carácter personal por parte del órgano de control, como por ejemplo las direcciones IP, el número de DNI, o la imagen de la persona a pesar de que no contengan ningún dato identificativo complementario sino únicamente porque pertenezcan a una persona física.
En la línea de la Sentencia comentada, tampoco existe una base de datos pública de imágenes que identifiquen a las personas físicas con las que se relacionan dichas imágenes ni tampoco existe una base de datos pública de matrículas de vehículos que relacionen estas con las personas titulares de las mismas. Si esto es así, ¿cuál es la situación de la captación de imágenes en los parking subterráneos públicos?
Pero, ¿dónde está el límite? ¿Se puede considerar, tal y como argumenta la AEPD, que por el mero hecho de descolgar el teléfono se identifica a la persona, o por el mero hecho de la captura de la imagen de una persona, de manera accidental por vigilarse exclusivamente el espacio y los vehículos en cumplimiento de la normativa específica de aplicación, y sin más información de la misma se identifica a la persona?
Y por otra parte, ¿qué argumentos existen para considerar que las imágenes captadas en la videovigilancia de los parkings subterráneos públicos hacen identificables a las personas físicas? ¿Es posible de forma sencilla identificar a una persona física cuando únicamente contamos con una imagen, y en la mayoría de los casos sin la nitidez necesaria para llegar a detalles en sus rasgos?
Realicen una simple prueba para determinar si con el número de DNI o con el nombre y apellidos por sí solos bastaría para identificar a una persona física en las grabaciones de imágenes en el parking. Obtendrán, como hemos obtenido nosotros, resultados negativos en todos los intentos. Por lo tanto, en nuestra opinión, sería necesario un esfuerzo de investigación que podría considerarse “desproporcionado” para lograr la identificación de una persona física a partir de una imagen captada en la videovigilancia dentro de los parkings subterráneos públicos.
En este caso, únicamente podría identificarse a las personas a través de estas imágenes mediante el envío de las mismas al Ministerio del Interior o a los Cuerpos y Fuerzas de Seguridad.
Por lo tanto, podemos concluir que no hay identificación de personas físicas en esta acción de grabación de las imágenes. Sólo se produciría la identificación en las imágenes de las personas físicas en cuestión, en un visionado posterior ah doc promovido por una reclamación o solicitud al efecto en el que se aporten los datos que relacionan a esa persona física con la imagen. Hasta ese momento, la información contenida en la imagen captada es anónima respecto a la persona física que hay detrás de esa imagen. Hay dato pero no se vincula a una persona física.
Otro aspecto a tener en cuenta en esta materia es la necesidad o no de recabar el consentimiento del afectado pero que no vamos a tratar en profundidad.
En este sentido, es necesario que concurra la legitimación, dado que para que el tratamiento de los datos de carácter personal sea lícito, el artículo 6.1 de la LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa” y así lo dispone el artículo 2 de la Instrucción 1/2006,
“1. Sólo será posible el tratamiento de los datos objeto de la presente instrucción, cuando se encuentre amparado por lo dispuesto en el artículo 6.1 y 2 y el artículo 11.1 y 2 de la LOPD.
2. Sin perjuicio de lo establecido en el apartado anterior la instalación de cámaras o videocámaras deberá respetar en todo caso los requisitos exigidos por la legislación vigente en la materia”.
Evidentemente, esto llevaría al absurdo de tener que pedir el consentimiento a cada ciudadano que accede a un local; por ello, la AEPD ha venido entendiendo que existe una Ley que habilita el tratamiento de las imágenes y que por tanto no es necesario solicitar el consentimiento, esta ley es la Ley 23/1992 de Seguridad Privada.
Por lo tanto, en el supuesto de los parkings subterráneos públicos debemos entender que se cumple con el deber de obtener el consentimiento de las personas que transitan por los lugares en los que se encuentran instaladas las cámaras, puesto que se consiente tácitamente al obtener el ticket de acceso al parking público, por ser el momento en el que se inicia la relación prestacional del servicio de parking; y por conformar la seguridad dentro de las instalaciones y de los vehículos una parte integrante de dicha prestación, y que conlleva la videovigilancia de las instalaciones.
Esta situación asentada en la AEPD se ha visto trastocada por la entrada en vigor de la reforma de esta Ley de Seguridad Privada propiciada por la Ley 25/2009 de 22 de diciembre, Ley Omnibus, que ha venido a crear una disposición adicional sexta que establece:
“Exclusión de las empresas relacionadas con equipos técnicos de seguridad.
Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”
Hasta ahora, el artículo 5.1.e de la Ley de Seguridad Privada, disponía que “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Dicha previsión se reiteraba en el artículo 1 del Reglamento de Seguridad privada, aprobado por el Real Decreto 2364/1994, de 9 de diciembre.
Lo que no ha cambiado es la necesidad para la instalación y captación de sistemas de videovigilancia en parking subterráneos públicos de la preceptiva autorización de la Subdelegación/Delegación del Gobierno, con carácter previo a su instalación justificando la adopción de dicha medida en base al principio de proporcionalidad.
De conformidad con la línea argumental expuesta, la captación de imágenes a través de videocámaras constituye un tratamiento de datos personales si las imágenes captadas se refieren a personas físicas identificadas o que puedan ser identificables.
En relación al cumplimiento de las obligaciones establecidas en la Ley 40/2002, reguladora del contrato de aparcamientos de vehículos y sus posteriores modificaciones, la captación y grabación de matrículas de los vehículos que acceden a los estacionamientos y la captación de imágenes de las instalaciones con fines de seguridad y control de posibles daños a vehículos estacionados es una obligación de los gestores o explotadores de estos parkings. Las imágenes captadas por el segundo subsistema únicamente son visualizadas si se produce alguna reclamación por daños o porque lo solicite las fuerzas y cuerpos de seguridad y únicamente bajo el criterio de búsqueda de fecha y hora, siendo imposible la búsqueda individualizada de la imagen de una persona. En este sentido, en cumplimiento de la Ley 44/2006, que modifica la Ley 40/2002 reguladora del Contrato de Aparcamiento de Vehículos y de la relación contractual derivada del servicio de parking, al usuario se le hace entrega de un justificante o resguardo del aparcamiento, con expresión del día y hora de la entrada, la identificación del vehículo y si el usuario hace entrega o no al responsable del aparcamiento de las llaves del vehículo. Esos son los únicos datos que se tratan en el este tipo de aparcamientos.
Las imágenes captadas por las cámaras de videovigilancia son grabadas en un sistema automático de grabación que está configurado para grabar en ciclos periódicos, siendo ese el período máximo de conservación, que nunca superará el periodo de un mes. A estos sistemas de visualización, con carácter general, se accede mediante usuario y contraseña, cuando se produce algún tipo de reclamación por usuarios o requerimiento por parte de los Cuerpos y Fuerzas de Seguridad que resultan imprescindibles para poder identificar a las personas físicas por parte del Responsable del tratamiento en el primer caso, por parte de los Cuerpos y Fuerzas de Seguridad en el segundo. Consiguientemente, dentro del sistema de grabación de imágenes lo único que hay es una acumulación de imágenes tomadas según transcurre el tiempo y que son borradas de manera automática en periodos de tiempo establecidos en el sistema. En este sentido, resulta anecdótico que se pudieran dar situaciones como que en la fecha de contestación a una Hoja de Reclamación de Consumo acerca de la tarifa por hora del parking y por incumplimiento del artículo 5 de la Ley 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, en el caso de que se hubiera producido la grabación de imágenes en las que pudiera aparecer el denunciante, se estuviera produciendo el borrado automático de esas imágenes con la grabación de las nuevas imágenes según la configuración del sistema de grabación.
O en el supuesto de que no se hubiera producido el borrado automático de las imágenes, sólo en ese momento, y nunca antes, por no disponerse de datos complementarios a esas imágenes que identifiquen al titular de ese dato, se podrá identificar a la persona física que está detrás de esa imagen.
Por consiguiente, en la grabación que nos ocupa, no puede considerase que dichas imágenes se destinen a integrarse en un archivo estructurado según criterios específicos relativos a las personas físicas. En todo caso, ha de diferenciarse el derecho a la intimidad y a la propia imagen con el derecho a controlar los datos de carácter personal sin que pueda hacerse una interpretación extensiva y genérica de la LOPD.
Volviendo al concepto de dato personal, según la definición de la LOPD, que requiere la concurrencia de un doble elemento: por una parte, la existencia de información o dato, y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable. Podemos concluir, que en el caso de la videovigilancia en los parkings subterráneos públicos, debemos entender que no hay tratamiento de datos de carácter personal porque no se podría acreditar, que a través de la imagen se identifique al titular de la misma o que a partir de la citada imagen fuese posible tal identificación, de forma que esa imagen ayuno de otras circunstancias que identifiquen o pudiesen permitir identificar al titular de la misma impide que pueda encajarse en la definición legal de dato de carácter personal.
Fuente: Datospersonales.org
Fecha: Diciembre de 2010
Internet de las cosas Por iÑAKI vICUÑA DE nICOLÁS, * Director de la Agencia Vasca de Protección de Datos
SOMOS cada vez más los ciudadanos que iniciamos el día conectándonos a la red, damos un paseo por Windows, nos comunicamos por motivos laborales, familiares o amistosos vía e-mail, sms o Skype, nos desplazamos orientados, como por arte de magia, con GPS, o hacemos nuestros pagos con tarjeta electrónica. Nos ubicamos con total naturalidad en el planeta por Google Maps y nuestra imagen queda grabada en un sinfín de omnipresentes videocámaras que no percibimos. Si hablamos de jóvenes, sabemos que el uso de ordenador es prácticamente universal. El 94,6% de los menores lo utilizan, el 87% navegan en internet y la mayoría tiene cuentas en redes sociales, donde comparten juegos, hobbies e intereses.
Para muchas personas, estos virtuales encuentros on line y esas grabaciones están envueltos en un velo de misterio; para otras, cada vez en mayor número, esos acrónimos, anglicismos y la tecnología que encierran, forman parte de su día a día y, sin llegar a la tecnoadicción, su ausencia les paralizaría dejándoles literalmente incapaces y desconectados. Las personas crean en estas redes su propia transparencia y, junto a todas las cautelas y garantías legales, conviene no perder de vista que los riesgos se controlan mejor por los propios autores de la información. Conviene cuestionarse "si los amigos de los amigos de mis amigos, son mis amigos" y valorar las consecuencias de esa idea, tan alejada del sentir cartesiano y tan instalada en la red, de que "todos me conocen, luego existo". Conviene tener presente el sabio consejo "sálvate a ti mismo".
La mayoría de usuarios sabemos que internet es un mundo de tratamiento de datos y que, una vez dentro, nuestros datos navegan en algún lugar, en la nube, ya no somos dueños de ellos. Hasta el punto decimos "todo está en la nube" para designar la tormenta de aplicaciones y datos que hay en la red. Ahora bien, todos estos mecanismos, con su apariencia de alta tecnología en permanente innovación, también pueden favorecer la consolidación de una sociedad de control y tenemos que evitar que la seguridad y la innovación generen miedo y, a consecuencia de ello, una cultura paralizante. La normativa sobre el derecho fundamental a la protección de datos personales ha construido un sistema de garantías basado, fundamentalmente, en los principios de finalidad, calidad y consentimiento, decisivos para asegurar la tutela efectiva de las libertades.
Esta preocupación por las libertades ha sido objeto de análisis en la reciente Conferencia Internacional de Autoridades de Protección de Datos celebrada en Jerusalén que, al abordar los nuevos retos a los que se enfrenta este derecho, ha analizado de manera muy singular la denominada internet de las cosas, un término que designa a una red de objetos equipados con dispositivos de identificación minúsculos similares a una pegatina incorporada a un producto, animal o persona que no requiere visión directa entre emisor y receptor, permite saber exactamente dónde están y, por tanto, quién los ha adquirido, robado o perdido.
Aplicando este sistema de identificación a sectores como telemedicina, comercio, tráfico, seguridad, paso automático en peajes, controles de acceso, o chips en mascotas, no cabe duda de que nuestra vida cotidiana sufriría una transformación. En la internet de las cosas estas tienen identidad propia y dialogan entre sí; se trata de un nuevo sistema que permite almacenar y recuperar datos, transmitir su identidad y su ubicación, en el que se combina la información generada por personas con la generada por todo tipo de objetos conectados a personas y máquinas.
No estoy hablando de ciencia ficción. Ya en 2005 la Unión Internacional de la Comunicaciones anunciaba este fenómeno, mientras que la Comisión Europea elaboró un informe en el año 2009. Las Autoridades de Protección de Datos, conscientes de que, de entrada, este fenómeno supone un desafío para la privacidad y hace necesarios cambios normativos, venimos analizando sus consecuencias y haciendo propuestas para que el respeto a los principios de la protección de datos favorezca la confianza en los avances del mundo digital y evite que se extienda una percepción negativa de la tecnología. Y es que aquí la normativa en vigor, la tantas veces invocada autodeterminación informativa y el sálvate a ti mismo propuesto resultan ya insuficientes. No me cabe duda de que tendremos que hablar y mucho de esta tecnología. De momento, vayamos haciendo nuestro el concepto internet de las cosas.
Fuente: Deia
Fecha: 14/12/2010
Para muchas personas, estos virtuales encuentros on line y esas grabaciones están envueltos en un velo de misterio; para otras, cada vez en mayor número, esos acrónimos, anglicismos y la tecnología que encierran, forman parte de su día a día y, sin llegar a la tecnoadicción, su ausencia les paralizaría dejándoles literalmente incapaces y desconectados. Las personas crean en estas redes su propia transparencia y, junto a todas las cautelas y garantías legales, conviene no perder de vista que los riesgos se controlan mejor por los propios autores de la información. Conviene cuestionarse "si los amigos de los amigos de mis amigos, son mis amigos" y valorar las consecuencias de esa idea, tan alejada del sentir cartesiano y tan instalada en la red, de que "todos me conocen, luego existo". Conviene tener presente el sabio consejo "sálvate a ti mismo".
La mayoría de usuarios sabemos que internet es un mundo de tratamiento de datos y que, una vez dentro, nuestros datos navegan en algún lugar, en la nube, ya no somos dueños de ellos. Hasta el punto decimos "todo está en la nube" para designar la tormenta de aplicaciones y datos que hay en la red. Ahora bien, todos estos mecanismos, con su apariencia de alta tecnología en permanente innovación, también pueden favorecer la consolidación de una sociedad de control y tenemos que evitar que la seguridad y la innovación generen miedo y, a consecuencia de ello, una cultura paralizante. La normativa sobre el derecho fundamental a la protección de datos personales ha construido un sistema de garantías basado, fundamentalmente, en los principios de finalidad, calidad y consentimiento, decisivos para asegurar la tutela efectiva de las libertades.
Esta preocupación por las libertades ha sido objeto de análisis en la reciente Conferencia Internacional de Autoridades de Protección de Datos celebrada en Jerusalén que, al abordar los nuevos retos a los que se enfrenta este derecho, ha analizado de manera muy singular la denominada internet de las cosas, un término que designa a una red de objetos equipados con dispositivos de identificación minúsculos similares a una pegatina incorporada a un producto, animal o persona que no requiere visión directa entre emisor y receptor, permite saber exactamente dónde están y, por tanto, quién los ha adquirido, robado o perdido.
Aplicando este sistema de identificación a sectores como telemedicina, comercio, tráfico, seguridad, paso automático en peajes, controles de acceso, o chips en mascotas, no cabe duda de que nuestra vida cotidiana sufriría una transformación. En la internet de las cosas estas tienen identidad propia y dialogan entre sí; se trata de un nuevo sistema que permite almacenar y recuperar datos, transmitir su identidad y su ubicación, en el que se combina la información generada por personas con la generada por todo tipo de objetos conectados a personas y máquinas.
No estoy hablando de ciencia ficción. Ya en 2005 la Unión Internacional de la Comunicaciones anunciaba este fenómeno, mientras que la Comisión Europea elaboró un informe en el año 2009. Las Autoridades de Protección de Datos, conscientes de que, de entrada, este fenómeno supone un desafío para la privacidad y hace necesarios cambios normativos, venimos analizando sus consecuencias y haciendo propuestas para que el respeto a los principios de la protección de datos favorezca la confianza en los avances del mundo digital y evite que se extienda una percepción negativa de la tecnología. Y es que aquí la normativa en vigor, la tantas veces invocada autodeterminación informativa y el sálvate a ti mismo propuesto resultan ya insuficientes. No me cabe duda de que tendremos que hablar y mucho de esta tecnología. De momento, vayamos haciendo nuestro el concepto internet de las cosas.
Fuente: Deia
Fecha: 14/12/2010
viernes, 3 de diciembre de 2010
Un centenar de policías denuncian la publicación de sus datos en internet
Un centenar de policías locales de Sevilla han presentado sendas denuncias ante la Agencia de Protección de Datos, al considerar que la publicación de sus datos personales en la página web del sindicato CSIF constituye una vulneración de la ley de Protección de Datos.
La denuncia se dirige contra el sindicato y contra el Ayuntamiento de Sevilla, según explicó el policía local Luis Val, que ha llevado el caso además a los juzgados, al entender que se ha podido cometer incluso un delito de revelación de secretos. Los agentes consideran que el Consistorio también es responsable de la publicación de sus datos, puesto que según la ley vigente, "el Ayuntamiento es el propietario de la base de datos de los empleados municipales y tiene que cerciorarse y asegurarse de cómo se gestiona dicha base".
Luis Val explicó que el Sindicato Profesional de Policías Municipales de España (Sppme-A) ha ofrecido el gabinete jurídico a todos los 4.500 empleados municipales cuyos datos también aparecen en internet y que quieran sumarse a la denuncia.
Fuente: Diario de Sevilla
Fecha: 03/12/2010
La denuncia se dirige contra el sindicato y contra el Ayuntamiento de Sevilla, según explicó el policía local Luis Val, que ha llevado el caso además a los juzgados, al entender que se ha podido cometer incluso un delito de revelación de secretos. Los agentes consideran que el Consistorio también es responsable de la publicación de sus datos, puesto que según la ley vigente, "el Ayuntamiento es el propietario de la base de datos de los empleados municipales y tiene que cerciorarse y asegurarse de cómo se gestiona dicha base".
Luis Val explicó que el Sindicato Profesional de Policías Municipales de España (Sppme-A) ha ofrecido el gabinete jurídico a todos los 4.500 empleados municipales cuyos datos también aparecen en internet y que quieran sumarse a la denuncia.
Fuente: Diario de Sevilla
Fecha: 03/12/2010
Protección de Datos verá la filtración de pacientes de Inca tras denunciarlo UGT
El sindicato UGT confirmó ayer a este diario que hoy mismo remitirá por correo certificado a la Agencia Española de Protección de Datos (AEPD) un escrito en el que denuncia que el hospital comarcal de Inca no ha guardado como debía los datos de sus pacientes ingresados y le insta a investigar todo este asunto por si pudiera ser constitutivo de un delito al vulnerar la legislación vigente referente a la protección de datos.
Ahora, con la denuncia presentada por el sindicato UGT ante el organismo estatal, Protección de Datos tendrá que investigar todo este asunto. Desde la AEPD señalaron que, en caso de no recibir denuncia alguna, podrían actuar igualmente de oficio si tras analizar la documentación aparecida en los medios de comunicación se desprendiera una posible infracción de la ley.
Para ello, el sindicato adjuntará toda la documentación publicada en DIARIO de MALLORCA sobre esta presunta filtración irregular en el hospital comarcal. Como se recordará, este rotativo publicó varias listas de pacientes ingresados en el hospital comarcal en las que figuraban datos personales de los enfermos y el número de la habitación en la que estaban ingresados. Al parecer, listados como este son filtrados por alguien del centro sanitario al Partido Popular de Inca para concejales cursen visitas con un claro objetivo electoralista a los pacientes de su municipio.
Desde la conselleria de Salud se admitió que se produjo esta filtración de datos "no autorizada" por parte de los pacientes y se abrió una investigación que, hasta el momento, no ha arrojado ningún resultado.
El secretario general de la Federación de Servicios Públicos de UGT en Balears, Aurelio Martínez, reiteró que, en opinión de su sindicato, "la gerencia del hospital de Inca no ha cumplido con su obligación de guardar los datos de sus pacientes. Y de la investigación que ahora tendrá que abrir Protección de Datos se puede derivar un delito si alguien ha hecho un uso de esos datos para fines políticos, no es sólo el hecho mezquino de usar la enfermedad con estos objetivos".
Para Martínez, si la AEPD determina que se ha producido un delito tendría que sancionar a la Administración y pedir la intervención de la Fiscalía.
Fuente: Diario de MAllorca
Fecha: 18/11/2010
Ahora, con la denuncia presentada por el sindicato UGT ante el organismo estatal, Protección de Datos tendrá que investigar todo este asunto. Desde la AEPD señalaron que, en caso de no recibir denuncia alguna, podrían actuar igualmente de oficio si tras analizar la documentación aparecida en los medios de comunicación se desprendiera una posible infracción de la ley.
Para ello, el sindicato adjuntará toda la documentación publicada en DIARIO de MALLORCA sobre esta presunta filtración irregular en el hospital comarcal. Como se recordará, este rotativo publicó varias listas de pacientes ingresados en el hospital comarcal en las que figuraban datos personales de los enfermos y el número de la habitación en la que estaban ingresados. Al parecer, listados como este son filtrados por alguien del centro sanitario al Partido Popular de Inca para concejales cursen visitas con un claro objetivo electoralista a los pacientes de su municipio.
Desde la conselleria de Salud se admitió que se produjo esta filtración de datos "no autorizada" por parte de los pacientes y se abrió una investigación que, hasta el momento, no ha arrojado ningún resultado.
El secretario general de la Federación de Servicios Públicos de UGT en Balears, Aurelio Martínez, reiteró que, en opinión de su sindicato, "la gerencia del hospital de Inca no ha cumplido con su obligación de guardar los datos de sus pacientes. Y de la investigación que ahora tendrá que abrir Protección de Datos se puede derivar un delito si alguien ha hecho un uso de esos datos para fines políticos, no es sólo el hecho mezquino de usar la enfermedad con estos objetivos".
Para Martínez, si la AEPD determina que se ha producido un delito tendría que sancionar a la Administración y pedir la intervención de la Fiscalía.
Fuente: Diario de MAllorca
Fecha: 18/11/2010
Denuncian el uso de los datos del padrón para enviar una publicación
Un nuevo frente se ha abierto en Fuengirola, ésta vez por el uso del padrón municipal. El secretario local de Organización del PSOE, Samuel García Tamajón, denunció ayer públicamente el "uso indebido" de la protección de datos que se realiza desde el Ayuntamiento en lo que se refiere a la distribución de una publicación.
"El Consistorio gobernado por el PP, y más concretamente la alcaldesa, Esperanza Oña, usa los datos de los empadronados para enviar a sus casas, por medio de trabajadores públicos y funcionarios, un periódico adoctrinado del PP", indicó García Tamajón.
Al respecto, el secretario señaló que la regidora usa a los notificadores y "el dinero de todos los fuengiroleños para hacer propaganda en una publicación italiana", la cual se reparte entre los residentes con origen en este país.
Por otro lado, detalló que en la publicación hay un total de ocho páginas con informaciones del PP, dos de ellas locales, además de un anuncio municipal. García Tamajón insistió en que se están cometiendo dos delitos, uno contra la Ley de Protección de Datos y otro por la malversación de fondos y personal público.
El PSOE anunció que se van a tomar medidas legales, puesto que el secretario de Política Municipal, Juan Pedro Álvarez, afirmó que se ha cometido una "vulneración" del consentimiento dado por los ciudadanos a la hora de facilitar este tipo de informaciones privadas.
Por ello, se ha presentado una denuncia ante la Agencia Española de Protección de Datos por la vulneración de la Ley Orgánica 15/1999.
En respuesta a esta denuncia, fuentes del equipo de gobierno del PP insistieron en afirmar que el Ayuntamiento "cuenta con los informes necesarios" que avalan esta iniciativa.
Fuente: MAlaga Hoy
Fecha: 17/11/2010
"El Consistorio gobernado por el PP, y más concretamente la alcaldesa, Esperanza Oña, usa los datos de los empadronados para enviar a sus casas, por medio de trabajadores públicos y funcionarios, un periódico adoctrinado del PP", indicó García Tamajón.
Al respecto, el secretario señaló que la regidora usa a los notificadores y "el dinero de todos los fuengiroleños para hacer propaganda en una publicación italiana", la cual se reparte entre los residentes con origen en este país.
Por otro lado, detalló que en la publicación hay un total de ocho páginas con informaciones del PP, dos de ellas locales, además de un anuncio municipal. García Tamajón insistió en que se están cometiendo dos delitos, uno contra la Ley de Protección de Datos y otro por la malversación de fondos y personal público.
El PSOE anunció que se van a tomar medidas legales, puesto que el secretario de Política Municipal, Juan Pedro Álvarez, afirmó que se ha cometido una "vulneración" del consentimiento dado por los ciudadanos a la hora de facilitar este tipo de informaciones privadas.
Por ello, se ha presentado una denuncia ante la Agencia Española de Protección de Datos por la vulneración de la Ley Orgánica 15/1999.
En respuesta a esta denuncia, fuentes del equipo de gobierno del PP insistieron en afirmar que el Ayuntamiento "cuenta con los informes necesarios" que avalan esta iniciativa.
Fuente: MAlaga Hoy
Fecha: 17/11/2010
Sanción por facilitar datos de ancianos a una farmacia
El Supremo mantiene la sanción a una residencia de la tercera edad por vulnerar la Ley de Protección de Datos, al dar a una farmacia una lista con datos de residentes como el DNI, nombre y cuenta bancaria.
El Tribunal Supremo confirma la sanción de la Agencia Española de Protección de Datos (AEPD) a una residencia de ancianos por facilitar a una farmacia un listado con datos personales de los residentes. El Alto Tribunal ratifica la multa de 300.506 euros a la residencia.
Según los hechos, tras una inspección en la farmacia, el titular de la misma reconoció que la residencia de ancianos le facilitó un listado con una relación de sus clientes. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social.
El titular de la farmacia reconoce que la residencia de ancianos es uno de sus principales clientes y que las órdenes de pedido se refieren tanto a productos cubiertos por la Seguridad Social como a no cubiertos. En este segundo caso, el Centro Residencial comunica, bien por teléfono o por escrito, la relación de los productos con indicación del residente para el que se solicitan.
El listado aportado por la residencia de ancianos contenía los siguientes campos de información: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. En la residencia de mayores se verificó que en sus equipos informáticos se encontraba un fichero automatizado tipo hoja de cálculo Excel, cuyo formato coincide exactamente con el listado aportado a la inspección por el titular de la farmacia. Los datos contenidos en el fichero corresponden a 162 residentes del centro, los cuales figuran también en el listado aportado a la Inspección por el titular farmacéutico.
Asimismo, ha quedado probado que en los contratos suscritos entre la residencia y los residentes no se informa a los mismos sobre los derechos que les asisten contemplados en la Ley Orgánica de Protección de Datos (LOPD).
Por su parte, la residencia de ancianos argumenta que el servicio que presta a los residentes es un servicio de atención integral de todas sus necesidades, incluidas las de acceso a medicamentos y artículos de higiene personal. Añade que “la prestación de esa concreta asistencia sólo puede realizarse mediante la confección de un pedido a la farmacia y con la facilitación de los datos de cada persona a los efectos de cobro”.
La Sala destaca que no está en condiciones de determinar el modo en que se debe proceder al suministro de medicamentos y productos de parafarmacia a las personas que se encuentran ingresadas en una residencia en la que reciben una asistencia integral. “No obstante, lo que sí se puede afirmar sin temor a error es que el mecanismo ideado para proceder a ese suministro produce claras infracciones de los derechos a la protección de datos de las personas ingresadas”, apunta.
Información expresa
El Supremo insiste en que la prestación del servicio farmacéutico por parte de la recurrente a sus residentes no fue precedido de una información expresa en la que se hiciese saber a los residentes la facilitación de sus datos de carácter personal a la oficina de farmacia. Según la Sala, tampoco puede sostenerse que la información requerida esté implícita en la relación jurídica aceptada por los residentes, aún cuando se admita que la relación de mención abarca una asistencia integral que incluye el servicio farmacéutico.
Por todo ello, se desestima el recurso de casación interpuesto por Sanidad y Residencias 21 S.A, contra sentencia de la Audiencia Nacional, que confirma la sanción de la AEPD de 300.506 euros. (TS 08/10/2010, Rº 4353/06).
Otros recursos a las decisiones de la Agencia
La AEPD ha sancionado recientemente a varias compañías. La empresa editorial Círculo de Lectores fue sancionada al haber cedido datos de exsocios para fines promocionales. Hace un año, el Supremo confirmaba la sanción a una mutua por dar información sobre el trabajador obtenida en un reconocimiento anterior cuando trabajaba para otra empresa. Sin embargo, el Supremo daba un varapalo al afán recaudatorio de la Agencia y anuló la sanción a Metrovacesa por ceder el teléfono móvil de un cliente a una caja de ahorros.
Fuente: Expansion
Fecha: 28/11/2010
El Tribunal Supremo confirma la sanción de la Agencia Española de Protección de Datos (AEPD) a una residencia de ancianos por facilitar a una farmacia un listado con datos personales de los residentes. El Alto Tribunal ratifica la multa de 300.506 euros a la residencia.
Según los hechos, tras una inspección en la farmacia, el titular de la misma reconoció que la residencia de ancianos le facilitó un listado con una relación de sus clientes. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social.
El titular de la farmacia reconoce que la residencia de ancianos es uno de sus principales clientes y que las órdenes de pedido se refieren tanto a productos cubiertos por la Seguridad Social como a no cubiertos. En este segundo caso, el Centro Residencial comunica, bien por teléfono o por escrito, la relación de los productos con indicación del residente para el que se solicitan.
El listado aportado por la residencia de ancianos contenía los siguientes campos de información: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. En la residencia de mayores se verificó que en sus equipos informáticos se encontraba un fichero automatizado tipo hoja de cálculo Excel, cuyo formato coincide exactamente con el listado aportado a la inspección por el titular de la farmacia. Los datos contenidos en el fichero corresponden a 162 residentes del centro, los cuales figuran también en el listado aportado a la Inspección por el titular farmacéutico.
Asimismo, ha quedado probado que en los contratos suscritos entre la residencia y los residentes no se informa a los mismos sobre los derechos que les asisten contemplados en la Ley Orgánica de Protección de Datos (LOPD).
Por su parte, la residencia de ancianos argumenta que el servicio que presta a los residentes es un servicio de atención integral de todas sus necesidades, incluidas las de acceso a medicamentos y artículos de higiene personal. Añade que “la prestación de esa concreta asistencia sólo puede realizarse mediante la confección de un pedido a la farmacia y con la facilitación de los datos de cada persona a los efectos de cobro”.
La Sala destaca que no está en condiciones de determinar el modo en que se debe proceder al suministro de medicamentos y productos de parafarmacia a las personas que se encuentran ingresadas en una residencia en la que reciben una asistencia integral. “No obstante, lo que sí se puede afirmar sin temor a error es que el mecanismo ideado para proceder a ese suministro produce claras infracciones de los derechos a la protección de datos de las personas ingresadas”, apunta.
Información expresa
El Supremo insiste en que la prestación del servicio farmacéutico por parte de la recurrente a sus residentes no fue precedido de una información expresa en la que se hiciese saber a los residentes la facilitación de sus datos de carácter personal a la oficina de farmacia. Según la Sala, tampoco puede sostenerse que la información requerida esté implícita en la relación jurídica aceptada por los residentes, aún cuando se admita que la relación de mención abarca una asistencia integral que incluye el servicio farmacéutico.
Por todo ello, se desestima el recurso de casación interpuesto por Sanidad y Residencias 21 S.A, contra sentencia de la Audiencia Nacional, que confirma la sanción de la AEPD de 300.506 euros. (TS 08/10/2010, Rº 4353/06).
Otros recursos a las decisiones de la Agencia
La AEPD ha sancionado recientemente a varias compañías. La empresa editorial Círculo de Lectores fue sancionada al haber cedido datos de exsocios para fines promocionales. Hace un año, el Supremo confirmaba la sanción a una mutua por dar información sobre el trabajador obtenida en un reconocimiento anterior cuando trabajaba para otra empresa. Sin embargo, el Supremo daba un varapalo al afán recaudatorio de la Agencia y anuló la sanción a Metrovacesa por ceder el teléfono móvil de un cliente a una caja de ahorros.
Fuente: Expansion
Fecha: 28/11/2010
Expediente al Ayuntamiento de Mijas por uso de video-vigilancia a sus trabajador
La entidad gubernamental considera que el consistorio está cometiendo una faltagrave por instalar 14 cámaras en las dependencias municipales. CGT denuncia la utilización de estos medios para coaccionar a los trabajadores/as.
Para CGT, se trata de hechos muy graves. El Ayuntamiento de Mijas va a ser sancionado por la Agencia Españolade Protección de Datos. El organismo considera que la instalación de un sistema de vigilancia en la Nave de Servicios Operativos de La Cala de Mijas, efectuada sin cumplir los requisitos que establece la ley, vulnera los derechos a la intimidad y a la imagen de los trabajadores/as e incumple el artículo 20 de la LOPD(Ley Orgánica de Protección de Datos). Por ello, la Agencia ya ha abierto el proceso sobre esta infracción del consistorio y le ha abierto un expediente.
CGT denunció estos hechos ante el organismogubernamental. El sindicato, además, quiere protestar enérgicamente por el acoso que sufren los trabajadores/aspor este sistema y considera que el consistorio ha utilizado estos medios como medidade coacción para los trabajadores/asdel Ayuntamiento. Dos de ellos ya han sido sancionados tras ser ‘video-vigilados’. En uno de los casos, la fiscalía ha sobreseído el proceso al entender que estas grabaciones no eran concluyentes.
Ante estos hechos, CGT pone en marcha la campaña ‘No queremos un alcalde “Gran Hermano”’, en la que pone en conocimiento de todos los vecinos/as este problema. Cualquier persona que haya estado en las dependencias municipales de La Cala, como estudiantes de lasescuelastaller, proveedores/as, notificadores/as y ciudadanía en general, puede exigir responsabilidades al Ayuntamiento por vulnerar sus derechos a través de este sistema de vigilancia.
El sindicato anuncia que pondrá en marcha acciones informativas para denunciar esta situación.
CGT exige al Ayuntamiento de Mijas que ponga fin de inmediato a esta situación, que no sólo vulnera los derechos de los trabajadores/as, tal y como ha ratificado la Agencia Española de Protección de Datos, sino que además los denigra como personas.
Secc. Sind. CGT Ayto. Mijas - CGT Málaga
Fuente: Rojo y Negro
Fecha: 27/11/2010
Para CGT, se trata de hechos muy graves. El Ayuntamiento de Mijas va a ser sancionado por la Agencia Españolade Protección de Datos. El organismo considera que la instalación de un sistema de vigilancia en la Nave de Servicios Operativos de La Cala de Mijas, efectuada sin cumplir los requisitos que establece la ley, vulnera los derechos a la intimidad y a la imagen de los trabajadores/as e incumple el artículo 20 de la LOPD(Ley Orgánica de Protección de Datos). Por ello, la Agencia ya ha abierto el proceso sobre esta infracción del consistorio y le ha abierto un expediente.
CGT denunció estos hechos ante el organismogubernamental. El sindicato, además, quiere protestar enérgicamente por el acoso que sufren los trabajadores/aspor este sistema y considera que el consistorio ha utilizado estos medios como medidade coacción para los trabajadores/asdel Ayuntamiento. Dos de ellos ya han sido sancionados tras ser ‘video-vigilados’. En uno de los casos, la fiscalía ha sobreseído el proceso al entender que estas grabaciones no eran concluyentes.
Ante estos hechos, CGT pone en marcha la campaña ‘No queremos un alcalde “Gran Hermano”’, en la que pone en conocimiento de todos los vecinos/as este problema. Cualquier persona que haya estado en las dependencias municipales de La Cala, como estudiantes de lasescuelastaller, proveedores/as, notificadores/as y ciudadanía en general, puede exigir responsabilidades al Ayuntamiento por vulnerar sus derechos a través de este sistema de vigilancia.
El sindicato anuncia que pondrá en marcha acciones informativas para denunciar esta situación.
CGT exige al Ayuntamiento de Mijas que ponga fin de inmediato a esta situación, que no sólo vulnera los derechos de los trabajadores/as, tal y como ha ratificado la Agencia Española de Protección de Datos, sino que además los denigra como personas.
Secc. Sind. CGT Ayto. Mijas - CGT Málaga
Fuente: Rojo y Negro
Fecha: 27/11/2010
UCM recurrirá la decisión de Agencia de Protección de Datos y cree que ha podido ser utilizada con fines políticos
La Universidad Complutense de Madrid (UCM) recurrirá la decisión de la Agencia de Protección de Datos (APD) de la Comunidad de Madrid, que considera que el centro ha vulnerado el artículo 4.2 de la Ley Orgánica de Protección de Datos (LOPD) al utilizar el rector de la universidad, Carlos Berzosa, las direcciones de correo electrónico con fines diferentes a los que ha sido creado, y cree que "ha podido ser utilizada con fines políticos".
Fuentes de la UCM han señalado a Europa Press que la resolución de la APD madrileña será recurrida por la Universidad en los Juzgados de lo Contencioso-Administrativo al entender que "es contraria al derecho".
Estas fuentes han asegurado mostrarse "sorprendidas" ante dicho informe, y lamentan que "los responsables de una institución no puedan comunicarse con sus empleados, como lo hacen habitualmente para comunicar todo tipo de cuestiones de interés para la universidad".
"Nos sorprende, porque el rector se comunica habitualmente a través del correo electrónico y ninguno de los receptores ha expresado ninguna queja, es un canal de comunicación institucional", han expresado estas mismas fuentes.
Asimismo, consideran que "se ha podido instrumentalizar la Agencia de Protección de Datos como institución", y han recordado que es un organismo perteneciente a la Comunidad de Madrid, por lo que "ha podido ser utilizada con fines políticos".
La Agencia de Protección de Datos (APD) de la Comunidad de Madrid considera que la Universidad Complutense de Madrid (UCM) ha vulnerado el artículo 4.2 de la Ley Orgánica de Protección de Datos (LOPD) al utilizar el rector de la universidad, Carlos Berzosa, las direcciones de correo electrónico con fines diferentes a los que ha sido creado, concretamente para responder a unas acusaciones del portavoz adjunto del PP en la Asamblea, Juan Soler.
Se trata de un correo electrónico que el rector envió en abril y para el cual utilizó el fichero 'Directorio Web UCM', de forma que dicho mail llegase a toda la comunidad universitaria. El texto en cuestión suponía una contestación al portavoz adjunto del PP en la Asamblea de Madrid, Juan Soler, quien días antes le había acusado de utilizar dinero de la Universidad para la construcción de una residencia para profesores en Somosaguas.
Fuente: La Información
Fecha: 24/11/2010
Fuentes de la UCM han señalado a Europa Press que la resolución de la APD madrileña será recurrida por la Universidad en los Juzgados de lo Contencioso-Administrativo al entender que "es contraria al derecho".
Estas fuentes han asegurado mostrarse "sorprendidas" ante dicho informe, y lamentan que "los responsables de una institución no puedan comunicarse con sus empleados, como lo hacen habitualmente para comunicar todo tipo de cuestiones de interés para la universidad".
"Nos sorprende, porque el rector se comunica habitualmente a través del correo electrónico y ninguno de los receptores ha expresado ninguna queja, es un canal de comunicación institucional", han expresado estas mismas fuentes.
Asimismo, consideran que "se ha podido instrumentalizar la Agencia de Protección de Datos como institución", y han recordado que es un organismo perteneciente a la Comunidad de Madrid, por lo que "ha podido ser utilizada con fines políticos".
La Agencia de Protección de Datos (APD) de la Comunidad de Madrid considera que la Universidad Complutense de Madrid (UCM) ha vulnerado el artículo 4.2 de la Ley Orgánica de Protección de Datos (LOPD) al utilizar el rector de la universidad, Carlos Berzosa, las direcciones de correo electrónico con fines diferentes a los que ha sido creado, concretamente para responder a unas acusaciones del portavoz adjunto del PP en la Asamblea, Juan Soler.
Se trata de un correo electrónico que el rector envió en abril y para el cual utilizó el fichero 'Directorio Web UCM', de forma que dicho mail llegase a toda la comunidad universitaria. El texto en cuestión suponía una contestación al portavoz adjunto del PP en la Asamblea de Madrid, Juan Soler, quien días antes le había acusado de utilizar dinero de la Universidad para la construcción de una residencia para profesores en Somosaguas.
Fuente: La Información
Fecha: 24/11/2010
Agencia Protección de Datos cree que UCM vulneró la Ley al usar Berzosa el mail de la universidad para contestar a Soler
Se trata de un email que el rector envió en abril y para el cual utilizó el fichero 'Directorio Web UCM' de forma que dicho correo electrónico llegase a toda la comunidad universitaria. El texto en cuestión suponía una contestación al portavoz adjunto popular en la Asamblea de Madrid, Juan Soler, quien días antes le había acusado de utilizar dinero de la Universidad para la construcción de una residencia para profesores en Somosaguas
La Agencia de Protección de Datos (APD) de la Comunidad de Madrid considera que la Universidad Complutense de Madrid (UCM) ha vulnerado el artículo 4.2 de la Ley Orgánica de Protección de Datos (LOPD) al utilizar el rector de la universidad, Carlos Berzosa, las direcciones de correo electrónico con fines diferentes a los que ha sido creado, concretamente para responder a unas acusaciones del portavoz adjunto del PP en la Asamblea, Juan Soler.
Se trata de un email que el rector envió en abril y para el cual utilizó el fichero 'Directorio Web UCM' de forma que dicho correo electrónico llegase a toda la comunidad universitaria. El texto en cuestión suponía una contestación al portavoz adjunto popular en la Asamblea de Madrid, Juan Soler, quien días antes le había acusado de utilizar dinero de la Universidad para la construcción de una residencia para profesores en Somosaguas.
En concreto, la APD madrileña entiende que la universidad "ha vulnerado lo previsto en el artículo 4.2 de la LOPD", una conducta tipificada como una "infracción grave" en el artículo 44.3.d) de dicha normativa.
Este artículo considera como infracción el "tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave".
Para la Agencia de Protección de Datos, el fichero se describe con la finalidad de "gestión de los datos de los empleados públicos de la UCM con fines de Atención al Ciudadano" y se declara con la Finalidad y Usos de "procedimiento administrativa", lo que no coincidiría con el objeto del mail enviado.
Por tanto, al enviar el mail con la función de contestar a Soler se vulnerarían los términos del artículo 4.2 de la LOPD, que establece que "los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos".
LA SITUACIÓN SE REMONTA A ABRIL
Los hechos se remontan a abril de este año, cuando en una Comisión de Educación de la Asamblea de Madrid, el diputado popular Juan Soler insinuó que Berzosa había utilizado dinero de la universidad para construir pisos de lujo para profesores en Somosaguas en lugar de destinarlo a arreglar las deficiencias de los colegios mayores.
Posteriormente, Berzosa envió un email a la comunidad educativa refiriéndose a la situación e instando a Soler a que retirase sus "infundadas acusaciones" y afirmando que los orígenes de las viviendas de Somosaguas eran anteriores a su mandato y que dicha promoción no suponía coste alguno para la Universidad o la Fundación de la misma.
En dicho email, Berzosa explicaba que la promoción de viviendas Residencial Somosaguas se dirigía al personal de la UCM, tanto docente como de administración y servicios, y que "desde su inicio en 1997, se ha desarrollado en el seno de la Fundación General de la UCM, de manera que "sus orígenes son anteriores" a su mandato como rector.
Tras negar que él impulsara estas viviendas, indicaba que en 1997 la Fundación compró el solar mediante un crédito bancario, que en 2001 se realizó el sorteo de las viviendas no preadjudicadas, en julio de 2008 se presentó la solicitud de licencia de obras y que ese mismo año se firmaron los contratos de adjudicación de las 384 viviendas de la promoción. En diciembre de 2009 se celebró un nuevo sorteo para optar a las viviendas remanentes, añadía.
"Según se encuentra desarrollado en el clausulado del contrato firmado por los adjudicatarios, la promoción se desarrolla bajo el principio de asunción del coste total de la promoción por parte de los adjudicatarios, no suponiendo por tanto coste alguno ni para la Universidad ni para la Fundación, que cobra un porcentaje por gastos de gestión", indicaba el rector en su carta.
En ella también decía que "el buen fin de esta promoción social de viviendas a favor del personal de la Universidad ha exigido a lo largo de un dilatado período de tiempo una compleja gestión, que se prevé culmine satisfactoriamente en los meses centrales de 2011 con la entrega de las viviendas al personal complutense beneficiado en el sorteo, del que, a falta de las últimas adjudicaciones, 133 adjudicatarios son personal de administración y servicios".
Por todo ello, destacaba la "falsedad" de las palabras de Soler le reclamaba que rectificara lo dicho y desistiera en "su ánimo calumnioso contra la gestión de este rector y el buen nombre de la Universidad Complutense de Madrid".
Fuente: Gente Digital
Fecha: 24/11/2010
La Agencia de Protección de Datos (APD) de la Comunidad de Madrid considera que la Universidad Complutense de Madrid (UCM) ha vulnerado el artículo 4.2 de la Ley Orgánica de Protección de Datos (LOPD) al utilizar el rector de la universidad, Carlos Berzosa, las direcciones de correo electrónico con fines diferentes a los que ha sido creado, concretamente para responder a unas acusaciones del portavoz adjunto del PP en la Asamblea, Juan Soler.
Se trata de un email que el rector envió en abril y para el cual utilizó el fichero 'Directorio Web UCM' de forma que dicho correo electrónico llegase a toda la comunidad universitaria. El texto en cuestión suponía una contestación al portavoz adjunto popular en la Asamblea de Madrid, Juan Soler, quien días antes le había acusado de utilizar dinero de la Universidad para la construcción de una residencia para profesores en Somosaguas.
En concreto, la APD madrileña entiende que la universidad "ha vulnerado lo previsto en el artículo 4.2 de la LOPD", una conducta tipificada como una "infracción grave" en el artículo 44.3.d) de dicha normativa.
Este artículo considera como infracción el "tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave".
Para la Agencia de Protección de Datos, el fichero se describe con la finalidad de "gestión de los datos de los empleados públicos de la UCM con fines de Atención al Ciudadano" y se declara con la Finalidad y Usos de "procedimiento administrativa", lo que no coincidiría con el objeto del mail enviado.
Por tanto, al enviar el mail con la función de contestar a Soler se vulnerarían los términos del artículo 4.2 de la LOPD, que establece que "los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos".
LA SITUACIÓN SE REMONTA A ABRIL
Los hechos se remontan a abril de este año, cuando en una Comisión de Educación de la Asamblea de Madrid, el diputado popular Juan Soler insinuó que Berzosa había utilizado dinero de la universidad para construir pisos de lujo para profesores en Somosaguas en lugar de destinarlo a arreglar las deficiencias de los colegios mayores.
Posteriormente, Berzosa envió un email a la comunidad educativa refiriéndose a la situación e instando a Soler a que retirase sus "infundadas acusaciones" y afirmando que los orígenes de las viviendas de Somosaguas eran anteriores a su mandato y que dicha promoción no suponía coste alguno para la Universidad o la Fundación de la misma.
En dicho email, Berzosa explicaba que la promoción de viviendas Residencial Somosaguas se dirigía al personal de la UCM, tanto docente como de administración y servicios, y que "desde su inicio en 1997, se ha desarrollado en el seno de la Fundación General de la UCM, de manera que "sus orígenes son anteriores" a su mandato como rector.
Tras negar que él impulsara estas viviendas, indicaba que en 1997 la Fundación compró el solar mediante un crédito bancario, que en 2001 se realizó el sorteo de las viviendas no preadjudicadas, en julio de 2008 se presentó la solicitud de licencia de obras y que ese mismo año se firmaron los contratos de adjudicación de las 384 viviendas de la promoción. En diciembre de 2009 se celebró un nuevo sorteo para optar a las viviendas remanentes, añadía.
"Según se encuentra desarrollado en el clausulado del contrato firmado por los adjudicatarios, la promoción se desarrolla bajo el principio de asunción del coste total de la promoción por parte de los adjudicatarios, no suponiendo por tanto coste alguno ni para la Universidad ni para la Fundación, que cobra un porcentaje por gastos de gestión", indicaba el rector en su carta.
En ella también decía que "el buen fin de esta promoción social de viviendas a favor del personal de la Universidad ha exigido a lo largo de un dilatado período de tiempo una compleja gestión, que se prevé culmine satisfactoriamente en los meses centrales de 2011 con la entrega de las viviendas al personal complutense beneficiado en el sorteo, del que, a falta de las últimas adjudicaciones, 133 adjudicatarios son personal de administración y servicios".
Por todo ello, destacaba la "falsedad" de las palabras de Soler le reclamaba que rectificara lo dicho y desistiera en "su ánimo calumnioso contra la gestión de este rector y el buen nombre de la Universidad Complutense de Madrid".
Fuente: Gente Digital
Fecha: 24/11/2010
Un 'Robinson' de la publicidad
Sin necesidad de huir a una isla desierta ni recluirse en los confines del mundo, existe una solución que permite mantenerse al margen de esas fórmulas de marketing directo que hacen que cada vez sea más habitual que llegue publicidad con nombre y apellidos a nuestro correo postal, electrónico, teléfono móvil o incluso, en forma de llamadas al propio domicilio.
La Oficina Comarcal de Información al Consumidor (OMIC) de Oarsoaldea informa de la existencia de un servicio de exclusión publicitaria integral que gestiona la Federación Española de la Economía Digital (www.adigital.es), el denominado Lista Robinson.
Ander Poza, presidente de la Agencia de Desarrollo Comarcal Oarsoaldea y concejal de Desarrollo económico del Ayuntamiento de Pasaia, explica que cualquier persona puede inscribirse en la Lista Robinson de forma gratuita y sencilla a través de www.listarobinson.es.
«Sólo es necesario marcar en la casilla correspondiente el o los medios a través de los cuales no se desea recibir publicidad: correo postal o e-mail, teléfono móvil, SMS o teléfono fijo», señala el edil.
Los anunciantes, por su parte, tienen la obligación de consultar estos ficheros cuando realicen campañas en las que utilicen datos no facilitados por sus propios clientes, como se recoge en el Reglamento de desarrollo de la LOPD (Ley Orgánica de Protección de Datos).
Derecho de oposición
En el caso de que no se desee recibir publicidad de las empresas, aun siendo cliente, a los consumidores les queda lo que se califica de «derecho de oposición».
Desde la OMIC de Oarsoaldea aclaran que consiste en hacer llegar a la empresa el deseo de que utilicen tus datos exclusivamente para el servicio contratado (facturación, etc.). Aunque algunos expertos señalan que con una llamada sería suficiente, se recomienda hacerlo por escrito mediante los formularios que pone a disposición la Agencia de Protección de Datos, encargada de regular la LOPD (www.agpd.es).
Las empresas y entidades anunciantes pueden acceder a los ficheros de la Lista Robinson de dos maneras: una gratuita, para consultas puntuales y otra de pago, que posibilita la descarga, bien una única vez o cuantas sea necesario durante un año. Muchos usuarios ven ahí el peligro que puede suponer que la propia lista Robinson se convierta en una base de datos, previo pago, para los anunciantes.
Quienes se quieran registrar en esta lista deben saber también que su validez comienza en el plazo de tres meses desde el día después de la inscripción. No es algo instantáneo puesto que sus datos pueden estar siendo utilizados justo en el momento en el que se produce el registro.
Efectividad
Otro de los aspectos que hay que tener en cuenta es que tienen que coincidir todos los datos -caracteres, números y hasta los espacios- que tiene la empresa con los que el usuario facilite al registrarse en la lista.
No hay que olvidar que esta iniciativa surge de la necesidad de buscar el equilibrio entre el derecho fundamental a la protección de datos y el legítimo tratamiento de los mismos por parte de las diferentes entidades.
En cuanto a la efectividad de estas listas, la respuesta de la OMIC es clara: «Siempre es más efectivo que no hacer nada». Además, hay que recordar que los anunciantes que no respeten los datos de los usuarios registrados en la Lista Robinson, pueden ser denunciados ante de la Agencia de Protección de Datos (AGPD) y sancionados económicamente.
Fuente: Diario Vasco
Fecha: 12/11/2010
La Oficina Comarcal de Información al Consumidor (OMIC) de Oarsoaldea informa de la existencia de un servicio de exclusión publicitaria integral que gestiona la Federación Española de la Economía Digital (www.adigital.es), el denominado Lista Robinson.
Ander Poza, presidente de la Agencia de Desarrollo Comarcal Oarsoaldea y concejal de Desarrollo económico del Ayuntamiento de Pasaia, explica que cualquier persona puede inscribirse en la Lista Robinson de forma gratuita y sencilla a través de www.listarobinson.es.
«Sólo es necesario marcar en la casilla correspondiente el o los medios a través de los cuales no se desea recibir publicidad: correo postal o e-mail, teléfono móvil, SMS o teléfono fijo», señala el edil.
Los anunciantes, por su parte, tienen la obligación de consultar estos ficheros cuando realicen campañas en las que utilicen datos no facilitados por sus propios clientes, como se recoge en el Reglamento de desarrollo de la LOPD (Ley Orgánica de Protección de Datos).
Derecho de oposición
En el caso de que no se desee recibir publicidad de las empresas, aun siendo cliente, a los consumidores les queda lo que se califica de «derecho de oposición».
Desde la OMIC de Oarsoaldea aclaran que consiste en hacer llegar a la empresa el deseo de que utilicen tus datos exclusivamente para el servicio contratado (facturación, etc.). Aunque algunos expertos señalan que con una llamada sería suficiente, se recomienda hacerlo por escrito mediante los formularios que pone a disposición la Agencia de Protección de Datos, encargada de regular la LOPD (www.agpd.es).
Las empresas y entidades anunciantes pueden acceder a los ficheros de la Lista Robinson de dos maneras: una gratuita, para consultas puntuales y otra de pago, que posibilita la descarga, bien una única vez o cuantas sea necesario durante un año. Muchos usuarios ven ahí el peligro que puede suponer que la propia lista Robinson se convierta en una base de datos, previo pago, para los anunciantes.
Quienes se quieran registrar en esta lista deben saber también que su validez comienza en el plazo de tres meses desde el día después de la inscripción. No es algo instantáneo puesto que sus datos pueden estar siendo utilizados justo en el momento en el que se produce el registro.
Efectividad
Otro de los aspectos que hay que tener en cuenta es que tienen que coincidir todos los datos -caracteres, números y hasta los espacios- que tiene la empresa con los que el usuario facilite al registrarse en la lista.
No hay que olvidar que esta iniciativa surge de la necesidad de buscar el equilibrio entre el derecho fundamental a la protección de datos y el legítimo tratamiento de los mismos por parte de las diferentes entidades.
En cuanto a la efectividad de estas listas, la respuesta de la OMIC es clara: «Siempre es más efectivo que no hacer nada». Además, hay que recordar que los anunciantes que no respeten los datos de los usuarios registrados en la Lista Robinson, pueden ser denunciados ante de la Agencia de Protección de Datos (AGPD) y sancionados económicamente.
Fuente: Diario Vasco
Fecha: 12/11/2010
3 de cada 4 empresas riojanas incumplen la LOPD según un estudio
Un estudio de carácter nacional detalla que tres de cada cuatro empresas riojanas podrían ser sancionadas por infringir la Ley de Protección de Datos, según ha detallado a EFE el miembro de la Junta Directiva de la Asociación Profesional Española de Privacidad (APEP) José Helguero.
Helguero, quien ha participado en Logroño en unas jornadas del Grupo Pancorbo, ha dicho que esa es una de las conclusiones de un estudio realizado por diversas empresas consultoras nacionales sobre el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) por parte de la pequeña y mediana empresa (pyme) española en 2010.
Ha añadido que este estudio, en el que han colaborado empresas de toda la geografía nacional, pone de manifiesto el "precario" estado de las empresas riojanas en la protección de los datos que manejan.
También señala que un 24% de las empresas de La Rioja cumple las obligaciones básicas en materia de protección de datos, como es la inscripción de sus ficheros en el Registro General de Protección de Datos.
El trabajo refleja que las empresas podrían ser sancionadas con multas de hasta 600.000 euros por infracciones como no informar de la incorporación de los datos a un fichero, no adoptar las medidas de seguridad de la información que manejan o no facilitar a sus clientes el ejercicio de sus derechos.
Los autores del estudio entienden que la solución pasa porque las administraciones públicas, las empresas y las asociaciones colaboren en la difusión de la necesidad de cumplir una normativa con tanta trascendencia como la LOPD.
Ello, según Helguero, contribuiría a garantizar el derecho constitucional al honor y a la intimidad personal, que está especialmente "amenazado" ante el auge de las nuevas tecnologías en la Sociedad de la Información.
Fuente: ABC
Fecha: 11/11/2010
Helguero, quien ha participado en Logroño en unas jornadas del Grupo Pancorbo, ha dicho que esa es una de las conclusiones de un estudio realizado por diversas empresas consultoras nacionales sobre el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) por parte de la pequeña y mediana empresa (pyme) española en 2010.
Ha añadido que este estudio, en el que han colaborado empresas de toda la geografía nacional, pone de manifiesto el "precario" estado de las empresas riojanas en la protección de los datos que manejan.
También señala que un 24% de las empresas de La Rioja cumple las obligaciones básicas en materia de protección de datos, como es la inscripción de sus ficheros en el Registro General de Protección de Datos.
El trabajo refleja que las empresas podrían ser sancionadas con multas de hasta 600.000 euros por infracciones como no informar de la incorporación de los datos a un fichero, no adoptar las medidas de seguridad de la información que manejan o no facilitar a sus clientes el ejercicio de sus derechos.
Los autores del estudio entienden que la solución pasa porque las administraciones públicas, las empresas y las asociaciones colaboren en la difusión de la necesidad de cumplir una normativa con tanta trascendencia como la LOPD.
Ello, según Helguero, contribuiría a garantizar el derecho constitucional al honor y a la intimidad personal, que está especialmente "amenazado" ante el auge de las nuevas tecnologías en la Sociedad de la Información.
Fuente: ABC
Fecha: 11/11/2010
miércoles, 10 de noviembre de 2010
Condenada una operadora a pagar 28.000 euros por incluir a un cliente en una lista de morosos
La Audiencia Nacional ha condenado a una operadora de telefonía móvil a pagar una multa de 28.000 euros por infringir la ley de Protección de Datos al incluir a un cliente sevillano en un registro de morosos por una supuesta deuda de 20,88 euros.
La multa fue imputada por la Agencia Española de Protección de Datos a Amena, empresa que en junio de 2006 incluyó al cliente en el fichero de morosos de Asnef por el impago de 20,88 euros, correspondientes al supuesto impago del consumo mensual de tres recibos. El cliente había presentado con anterioridad, el 30 de diciembre de 2005, una denuncia por el robo de su terminal en la Guardia Civil, hecho que comunicó por escrito al día siguiente a la compañía telefónica, a la que solicitó el bloqueo de la línea y el envío de una tarjeta y otro terminal.
El 16 de enero de 2006, el usuario envió una nueva carta al servicio de atención, en la que tras identificarse con el nombre y el NIF, comunicaba la baja de la compañía, pero la empresa no le dio de baja en la línea hasta el 28 de julio de 2006 por impago de los tres recibos que le reclamaba y por los que le incluyó en el fichero de morosos.
La agencia de Protección de Datos sancionó a la operadora por haber incluido al cliente en el registro "sin previo requerimiento del pago de la deuda y respecto a unas deudas inexistentes".
La compañía alegó defectos de forma en la comunicación de la baja, puesto que el cliente no había aportado la fotocopia del DNI, pero la sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional considera que no se incumplieron las cláusulas para la resolución del contrato porque el cliente se identificó con su nombre completo y su NIF, y acompañó su carta con el justificante bancario mediante el cual solicitó la baja y de la orden girada al banco para que dejara de abonar los recibos emitidos por la operadora móvil. Esos datos, recoge la sentencia, eran "suficientes para entender perfectamente acreditada la identidad del cliente y su clara voluntad de darse de baja en la compañía, petición que avalaba sus anteriores comunicaciones, tanto telefónicas como por escrito, en la que ponía de manifiesto la falta de la debida atención de la compañía a sus peticiones a raíz del robo de su terminal". La compañía, concluye el fallo, "debió darle de baja en el servicio que tenía contratado en los 15 días siguientes de la recepción de dicha comunicación sin que pudiera seguir girando los recibos mensuales de dicha línea como si tal comunicación no hubiera existido".
France Telecom había pedido, en todo caso, una reducción de la multa a 6.000 euros, pero el tribunal considera "adecuado y proporcional" el importe de la multa.
Fuente: Diario de Sevilla
Fecha: 09/11/2010
La multa fue imputada por la Agencia Española de Protección de Datos a Amena, empresa que en junio de 2006 incluyó al cliente en el fichero de morosos de Asnef por el impago de 20,88 euros, correspondientes al supuesto impago del consumo mensual de tres recibos. El cliente había presentado con anterioridad, el 30 de diciembre de 2005, una denuncia por el robo de su terminal en la Guardia Civil, hecho que comunicó por escrito al día siguiente a la compañía telefónica, a la que solicitó el bloqueo de la línea y el envío de una tarjeta y otro terminal.
El 16 de enero de 2006, el usuario envió una nueva carta al servicio de atención, en la que tras identificarse con el nombre y el NIF, comunicaba la baja de la compañía, pero la empresa no le dio de baja en la línea hasta el 28 de julio de 2006 por impago de los tres recibos que le reclamaba y por los que le incluyó en el fichero de morosos.
La agencia de Protección de Datos sancionó a la operadora por haber incluido al cliente en el registro "sin previo requerimiento del pago de la deuda y respecto a unas deudas inexistentes".
La compañía alegó defectos de forma en la comunicación de la baja, puesto que el cliente no había aportado la fotocopia del DNI, pero la sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional considera que no se incumplieron las cláusulas para la resolución del contrato porque el cliente se identificó con su nombre completo y su NIF, y acompañó su carta con el justificante bancario mediante el cual solicitó la baja y de la orden girada al banco para que dejara de abonar los recibos emitidos por la operadora móvil. Esos datos, recoge la sentencia, eran "suficientes para entender perfectamente acreditada la identidad del cliente y su clara voluntad de darse de baja en la compañía, petición que avalaba sus anteriores comunicaciones, tanto telefónicas como por escrito, en la que ponía de manifiesto la falta de la debida atención de la compañía a sus peticiones a raíz del robo de su terminal". La compañía, concluye el fallo, "debió darle de baja en el servicio que tenía contratado en los 15 días siguientes de la recepción de dicha comunicación sin que pudiera seguir girando los recibos mensuales de dicha línea como si tal comunicación no hubiera existido".
France Telecom había pedido, en todo caso, una reducción de la multa a 6.000 euros, pero el tribunal considera "adecuado y proporcional" el importe de la multa.
Fuente: Diario de Sevilla
Fecha: 09/11/2010
lunes, 8 de noviembre de 2010
Los padres pueden reclamar los datos personales de otros niños si sospechan de fraude
Los colegios están obligados a suministrar esta información a las familias que la pidan siempre que se comprometan a no revelarla
Cada vez que se desarrolla el proceso de escolarización se descubre, o al menos se tienen indicios, de la existencia de fraudes en los datos de las familias. Es el intento desesperado de muchos padres por lograr una plaza en el colegio deseado, que suelen ser los más demandados y donde se quedan más aspirantes en lista de espera por si se producen vacantes. La historia se repite año tras año. Para garantizar, en la medida de lo posible, la transparencia del proceso, los centros están obligados a facilitar a las familias los datos personales de otros niños cuando existan sospechas de que se han cometido trampas en la información facilitada para obtener más puntos en la baremación.
La Agencia de Protección de Datos reconoce el derecho de estas familias, a las que considera parte interesada en este procedimiento, que es público. Por ello, la dirección del colegio está obligada a facilitar esta información a los padres que la soliciten, siempre y cuando se comprometan a no revelarla. Sin embargo, existe la creencia generalizada de que se trata de documentos restringidos, por ser datos privados.
El jefe del servicio de Inspección Educativa de la Delegación Provincial de Educación, José Antonio Guerrero, recuerda que el factor determinante para obtener un pupitre en uno u otro centro es la cercanía del domicilio familiar o laboral de los padres (aunque el nuevo decreto 47/2010, de 23 de febrero, favorece la integración de los hermanos en el mismo colegio). Por este motivo, mentir en el padrón es la principal artimaña que se utiliza a la hora de mentir para pedir una plaza escolar, sobre todo si se trata en un centro concertado, por razones de prestigio o porque en ellos estudiaron los padres y quieren que sus hijos sean herederos de la misma educación.
Trucos
Esta no es la única artimaña. Guerrero dice que también se han detectado trampas por presentar informes médicos falsificados para fingir minusvalías o enfermedades crónicas de los niños o sus padres, que en realidad no existen. «Falsificar los datos de la declaración de la Renta es prácticamente imposible, porque los datos se cruzan directamente con la Agencia Tributaria», precisa. El inspector jefe de la Delegación malagueña asegura que la inmensa mayoría de las reclamaciones se resuelven en el propio centro y que son muy pocas las que llegan a su departamento. ¿Qué ocurre si se descubre el fraude? Que el niño pierde los puntos y, por tanto, el derecho a ocupar esa plaza. Pero sólo eso. No existe ninguna otra sanción. Es probable que, ante tal situación de impunidad, año tras año siga habiendo familias que tratan de burlar la legislación. No obstante, el pasado mes de abril, recién llegado a su cargo, el consejero de Educación de la Junta, Francisco Álvarez de la Chica, anunció que la Consejería tenía la intención de que la Fiscalía Superior de Andalucía otorgara calificación de «delito» a los posibles fraudes que se produzcan durante el proceso de escolarización. Pero por el momento, sólo parece que es una intención.
La Federación Democrática de Padres (Fedapa), por su parte, hace hincapié en que es necesario extremar el cuidado con toda esta documentación que se entrega a las familias que reclaman, dado que los datos que se presentan en la preinscripción escolar abarcan información económica, sanitaria (en el caso de las minusvalías) y familiar. Sin embargo, también se muestran a favor de que la legislación permita hacer uso de esta información cuando existan indicios de fraude, ya que «quien hace trampas está expuesto a estas cosas», señalaron las fuentes.
Fuente: LA Opinión de Málaga
Fecha: 08/11/2010
Cada vez que se desarrolla el proceso de escolarización se descubre, o al menos se tienen indicios, de la existencia de fraudes en los datos de las familias. Es el intento desesperado de muchos padres por lograr una plaza en el colegio deseado, que suelen ser los más demandados y donde se quedan más aspirantes en lista de espera por si se producen vacantes. La historia se repite año tras año. Para garantizar, en la medida de lo posible, la transparencia del proceso, los centros están obligados a facilitar a las familias los datos personales de otros niños cuando existan sospechas de que se han cometido trampas en la información facilitada para obtener más puntos en la baremación.
La Agencia de Protección de Datos reconoce el derecho de estas familias, a las que considera parte interesada en este procedimiento, que es público. Por ello, la dirección del colegio está obligada a facilitar esta información a los padres que la soliciten, siempre y cuando se comprometan a no revelarla. Sin embargo, existe la creencia generalizada de que se trata de documentos restringidos, por ser datos privados.
El jefe del servicio de Inspección Educativa de la Delegación Provincial de Educación, José Antonio Guerrero, recuerda que el factor determinante para obtener un pupitre en uno u otro centro es la cercanía del domicilio familiar o laboral de los padres (aunque el nuevo decreto 47/2010, de 23 de febrero, favorece la integración de los hermanos en el mismo colegio). Por este motivo, mentir en el padrón es la principal artimaña que se utiliza a la hora de mentir para pedir una plaza escolar, sobre todo si se trata en un centro concertado, por razones de prestigio o porque en ellos estudiaron los padres y quieren que sus hijos sean herederos de la misma educación.
Trucos
Esta no es la única artimaña. Guerrero dice que también se han detectado trampas por presentar informes médicos falsificados para fingir minusvalías o enfermedades crónicas de los niños o sus padres, que en realidad no existen. «Falsificar los datos de la declaración de la Renta es prácticamente imposible, porque los datos se cruzan directamente con la Agencia Tributaria», precisa. El inspector jefe de la Delegación malagueña asegura que la inmensa mayoría de las reclamaciones se resuelven en el propio centro y que son muy pocas las que llegan a su departamento. ¿Qué ocurre si se descubre el fraude? Que el niño pierde los puntos y, por tanto, el derecho a ocupar esa plaza. Pero sólo eso. No existe ninguna otra sanción. Es probable que, ante tal situación de impunidad, año tras año siga habiendo familias que tratan de burlar la legislación. No obstante, el pasado mes de abril, recién llegado a su cargo, el consejero de Educación de la Junta, Francisco Álvarez de la Chica, anunció que la Consejería tenía la intención de que la Fiscalía Superior de Andalucía otorgara calificación de «delito» a los posibles fraudes que se produzcan durante el proceso de escolarización. Pero por el momento, sólo parece que es una intención.
La Federación Democrática de Padres (Fedapa), por su parte, hace hincapié en que es necesario extremar el cuidado con toda esta documentación que se entrega a las familias que reclaman, dado que los datos que se presentan en la preinscripción escolar abarcan información económica, sanitaria (en el caso de las minusvalías) y familiar. Sin embargo, también se muestran a favor de que la legislación permita hacer uso de esta información cuando existan indicios de fraude, ya que «quien hace trampas está expuesto a estas cosas», señalaron las fuentes.
Fuente: LA Opinión de Málaga
Fecha: 08/11/2010
Más del 85% de las pymes vascas podrían ser sancionadas por infringir la LOPD
Ésta es la principal conclusión de un estudio en el que han participado un grupo de empresas consultoras expertas en la materia y que pone de manifiesto el precario estado de la protección de los datos de carácter personal que manejan las empresas españolas y, en particular, las empresas vascas.
Según el estudio apenas un 14,1 % de las empresas vascas cumplen con la obligación básica de inscribir sus ficheros en el Registro General de Protección de Datos.
El porcentaje de las empresas vascas en lo que se refiere a la inscripción de sus ficheros es significativamente inferior a la media nacional, un 14,1% frente al 19,3%. Entre las provincias vascas se observa que las pymes vizcaínas (15,4%) han hecho sus deberes mejor que las alavesas (14,9%) y guipuzcoanas (11,8%), pero el porcentaje de cumplimiento en las tres provincias se sitúa a la cola de las provincias españolas. En el caso de Gipuzkoa este porcentaje de cumplimiento sólo supera a Ceuta y Melilla.
El estudio, promovido por Sigma Data Security se edita en licencia creative common, que permite su copia y difusión, citando la fuente, y se puede descargar el documento completo cuyo enlace es:
http://www.sigmadata.es/?s=downloads/get_file/9
Según el estudio apenas un 14,1 % de las empresas vascas cumplen con la obligación básica de inscribir sus ficheros en el Registro General de Protección de Datos.
El porcentaje de las empresas vascas en lo que se refiere a la inscripción de sus ficheros es significativamente inferior a la media nacional, un 14,1% frente al 19,3%. Entre las provincias vascas se observa que las pymes vizcaínas (15,4%) han hecho sus deberes mejor que las alavesas (14,9%) y guipuzcoanas (11,8%), pero el porcentaje de cumplimiento en las tres provincias se sitúa a la cola de las provincias españolas. En el caso de Gipuzkoa este porcentaje de cumplimiento sólo supera a Ceuta y Melilla.
El estudio, promovido por Sigma Data Security se edita en licencia creative common, que permite su copia y difusión, citando la fuente, y se puede descargar el documento completo cuyo enlace es:
http://www.sigmadata.es/?s=downloads/get_file/9
El sindicato UGT denunciará la filtración del listado de pacientes ante la Agencia de Protección Datos. Según recuerda el responsable de la Federación de Servicios Públicos del sindicato, Miguel Ángel Romero, la revelación de información protegida constituye un delito castigado con penas de cárcel. Precisamente por ello, dice, la Fiscalía debería intervenir en este caso. "En su día, cuando el president Antich expulsó a UM del Govern, advertimos del error que era mantener en cargos como la Gerencia del hospital de Inca a alguien de UM. Ahora vemos los resultados. Solo esperamos que lo que está sucediendo con datos de pacientes, que es detestable, no se repita con informes del personal".
Otra de las preocupaciones del sindicato es que la filtración sea utilizada como arma contra la plantilla. "No sería de recibo que se pusiese en la picota a todos los trabajadores por algo que tememos que ha filtrado algún cargo político", razona Romero, que exige por ello a la Conselleria que "depure responsabilidades y revise lo que está ocurriendo". "Y no solo en Inca: que comprueben otros hospitales y centros sanitarios, para que no nos llevemos más sorpresas. Las filtraciones de datos de pacientes son de una bajeza moral que asusta y que contrasta con la dificultad que tenemos para obtener información pública como la de productividad variable, clave en la remuneración del personal".
Lo mismo opinan en el PSOE, cuyo portavoz en Inca, Xavier Ramis, comprende que se visite a enfermos conocidos, pero no que se haga tras obtener los datos de forma ilegal. "No es aceptable. Entiendo que vayas en Navidad o cuando tienes un conocido de verdad: a la gente le gusta sentirse querida, pero eso no justifica saltarse la ley".
La denuncia del caso ante Protección de Datos tienen precedentes en Mallorca. La filtración hace cuatro años de información del 061 se saldó con una multa de 60.000 euros (está recurrida). Aunque la Ley contempla sanciones más cuantiosas, además de penas de hasta cuatro años de cárcel.
Fuente: Diario de Mallorca
Fecha: 08/11/2010
Otra de las preocupaciones del sindicato es que la filtración sea utilizada como arma contra la plantilla. "No sería de recibo que se pusiese en la picota a todos los trabajadores por algo que tememos que ha filtrado algún cargo político", razona Romero, que exige por ello a la Conselleria que "depure responsabilidades y revise lo que está ocurriendo". "Y no solo en Inca: que comprueben otros hospitales y centros sanitarios, para que no nos llevemos más sorpresas. Las filtraciones de datos de pacientes son de una bajeza moral que asusta y que contrasta con la dificultad que tenemos para obtener información pública como la de productividad variable, clave en la remuneración del personal".
Lo mismo opinan en el PSOE, cuyo portavoz en Inca, Xavier Ramis, comprende que se visite a enfermos conocidos, pero no que se haga tras obtener los datos de forma ilegal. "No es aceptable. Entiendo que vayas en Navidad o cuando tienes un conocido de verdad: a la gente le gusta sentirse querida, pero eso no justifica saltarse la ley".
La denuncia del caso ante Protección de Datos tienen precedentes en Mallorca. La filtración hace cuatro años de información del 061 se saldó con una multa de 60.000 euros (está recurrida). Aunque la Ley contempla sanciones más cuantiosas, además de penas de hasta cuatro años de cárcel.
Fuente: Diario de Mallorca
Fecha: 08/11/2010
Guía práctica para controlar tu privacidad en LinkedIn
Incluimos un vinculo que creemos que puede ser interesante:
http://bitelia.com/2010/11/guia-practica-para-controlar-tu-privacidad-en-linkedin#privacidad%20#lopd
http://bitelia.com/2010/11/guia-practica-para-controlar-tu-privacidad-en-linkedin#privacidad%20#lopd
Sanidad podrá saber quién sacó las listas de pacientes de Inca que usó el PP en sus visitas
"Si la Conselleria de Sanidad quiere saber quién filtra los listados de pacientes, lo sabrá". Lo tiene claro uno de los técnicos que trabajan a diario con el programa informático que emplea la sanidad pública balear. Por ello advierte de que el sistema deja muy pocas fisuras a la hora de piratear información. "Se puede saber hasta el último dato de quién saca los listados. Para entrar hay que hacerlo con un nombre y una clave personal. A partir de ahí, cada movimiento que haces queda registrado durante al menos 30 días", explica este especialista, que insiste por ello en que "saber quién ha sido el que ha revelado ilegalmente datos de los pacientes es solo cuestión de tener la voluntad política de saberlo".
Apunta así a la investigación puesta en marcha por la Conselleria de Sanidad en la mañana del sábado, después de que DIARIO de MALLORCA adelantase que concejales del Partido Popular de Inca están empleando para usos electorales un listado de enfermos blindado por la Ley de Protección de Datos y, por tanto, obtenido ilegalmente. El propio gerente del hospital, Federico Álvarez, detallaba que se había iniciado un rastreo informático en busca del foco de una filtración que le puede costar al responsable hasta cuatro años de cárcel.
"A alguien van a empurar, seguro, porque eso es sencillo de averiguar", coincide otro informático del Govern. Según aclara, el sistema que utiliza la administración balear está "tan restringido que se sabe perfectamente quién dio la orden, qué información vio, y la fecha y la hora exactas en las que lo hizo", apunta, en consonancia con lo afirmado por personal sanitario. "¡Es que se registra incluso por qué impresora se imprimió cada documento!", explica otro trabajador hospitalario que, ya de partida, da una pista: "Basta mirar el listado que publicó DIARIO de MALLORCA [en su edición del sábado: una relación de pacientes que se habría olvidado una concejala del PP de Inca en una de sus visitas] para saber que eso lo ha sacado alguien de la parte de administración y gestión. El personal sanitario tiene acceso a datos de pacientes concretos, pero no a una relación completa. Esos listados los tienen en los niveles de dirección y gerencia del hospital, aunque pueden estar también a mano del personal de citaciones y de admisiones generales y de urgencias", especifica este profesional.
¿Quiere todo esto decir que la conselleria y la dirección del hospital de Inca encontrarán al autor de la tropelía? Los profesionales sanitarios e informáticos afirman que sí, pero los precedentes no invitan a ser tan optimista: hace solo año y medio el aún hoy gerente del hospital recibió una denuncia por parte del PSOE, que le avisaba de la filtración de datos de un paciente par uso político del PP. La investigación se cerró sin consecuencias. De hecho, el gerente (uno de los pocos miembros de UM que quedan en el Govern tras la expulsión de este partido de los cargos de gestión del Govern) confiesa que no llegó siquiera a informar de los hechos a la conselleria comandada por el socialista Vicenç Thomàs.
Más enterado de todo está Pere Rotger. El ex alcalde de Inca, hoy vicepresidente del Parlament y del PP balear, confirmaba ayer que desde hace años su partido visita a los pacientes, "que lo agradecen siempre". El dirigente conservador ratifica que él mismo firmó en 2009 un escrito en el que pedía al hospital la lista de enfermos. "No tuvimos éxito. Nos informó [el gerente] de que esos datos eran confidenciales y ahí acabó todo", aclara Rotger, que subraya que su partido no maneja ningún listado de pacientes ni dispone de información privilegiada. Pese a ello, Rotger está muy bien informado: "Ya sabemos por el gerente que el listado que publicó DIARIO de MALLORCA [el sábado] es de 2008, y sospecho quién lo ha filtrado para intoxicar, pero como solo lo sospecho, no lo digo".
Fuente: Diario de MAllorca
Fecha: 08/11/2010
Apunta así a la investigación puesta en marcha por la Conselleria de Sanidad en la mañana del sábado, después de que DIARIO de MALLORCA adelantase que concejales del Partido Popular de Inca están empleando para usos electorales un listado de enfermos blindado por la Ley de Protección de Datos y, por tanto, obtenido ilegalmente. El propio gerente del hospital, Federico Álvarez, detallaba que se había iniciado un rastreo informático en busca del foco de una filtración que le puede costar al responsable hasta cuatro años de cárcel.
"A alguien van a empurar, seguro, porque eso es sencillo de averiguar", coincide otro informático del Govern. Según aclara, el sistema que utiliza la administración balear está "tan restringido que se sabe perfectamente quién dio la orden, qué información vio, y la fecha y la hora exactas en las que lo hizo", apunta, en consonancia con lo afirmado por personal sanitario. "¡Es que se registra incluso por qué impresora se imprimió cada documento!", explica otro trabajador hospitalario que, ya de partida, da una pista: "Basta mirar el listado que publicó DIARIO de MALLORCA [en su edición del sábado: una relación de pacientes que se habría olvidado una concejala del PP de Inca en una de sus visitas] para saber que eso lo ha sacado alguien de la parte de administración y gestión. El personal sanitario tiene acceso a datos de pacientes concretos, pero no a una relación completa. Esos listados los tienen en los niveles de dirección y gerencia del hospital, aunque pueden estar también a mano del personal de citaciones y de admisiones generales y de urgencias", especifica este profesional.
¿Quiere todo esto decir que la conselleria y la dirección del hospital de Inca encontrarán al autor de la tropelía? Los profesionales sanitarios e informáticos afirman que sí, pero los precedentes no invitan a ser tan optimista: hace solo año y medio el aún hoy gerente del hospital recibió una denuncia por parte del PSOE, que le avisaba de la filtración de datos de un paciente par uso político del PP. La investigación se cerró sin consecuencias. De hecho, el gerente (uno de los pocos miembros de UM que quedan en el Govern tras la expulsión de este partido de los cargos de gestión del Govern) confiesa que no llegó siquiera a informar de los hechos a la conselleria comandada por el socialista Vicenç Thomàs.
Más enterado de todo está Pere Rotger. El ex alcalde de Inca, hoy vicepresidente del Parlament y del PP balear, confirmaba ayer que desde hace años su partido visita a los pacientes, "que lo agradecen siempre". El dirigente conservador ratifica que él mismo firmó en 2009 un escrito en el que pedía al hospital la lista de enfermos. "No tuvimos éxito. Nos informó [el gerente] de que esos datos eran confidenciales y ahí acabó todo", aclara Rotger, que subraya que su partido no maneja ningún listado de pacientes ni dispone de información privilegiada. Pese a ello, Rotger está muy bien informado: "Ya sabemos por el gerente que el listado que publicó DIARIO de MALLORCA [el sábado] es de 2008, y sospecho quién lo ha filtrado para intoxicar, pero como solo lo sospecho, no lo digo".
Fuente: Diario de MAllorca
Fecha: 08/11/2010
La denuncia de robo de un teléfono no impide que la AEPD sancione al operador
La determinación de si se trató de un robo o un extravío resulta indiferente para que la Agencia Española de Protección de Datos pueda sancionar a la compañía por incluir al titular de la terminal por impago de mensualidades sin existir comunicación previa ni veracidad en la deuda, si aquel solicitó antes la baja del servicio.
La posibilidad de que se trate de un robo o de perdida de un teléfono móvil y, por tanto, de la responsable del mismo, tras la presentación de una denuncia en comisaría, no obliga a la Agencia Española de Protección de Datos (AEPD) a esperar que haya una sentencia penal firme para iniciar un procedimiento sancionador en el que se investigue la inclusión de los datos del cliente como moroso sin la existencia de un requerimiento previo del pago de la deuda y respecto a una deuda inexistente.
El ponente, el magistrado Córdoba Castroverde, dictamina que este procedimiento no está predeterminado por ningún pronunciamiento que pudiera dictarse en el proceso penal y que obligase a su paralización para conocer el resultado de dicha investigación y eventualmente de la sentencia que pudiera recaer, no concurriendo, por tanto, los requisitos previstos en el artículo 7 apartados 2 y 3 del Real Decreto 1398/1993 "identidad de sujeto, hecho y fundamento entre la infracción administrativa y la infracción penal que pudiera corresponder".
Exposición de los hechos
En este caso, el titular del teléfono presentó denuncia el 30 de diciembre de 2005 por el robo de su terminal de teléfono. El 31 de diciembre de 2005 remitió escrito al Servicio de Atención al Cliente de su operadora, comunicando el robo del terminal, adjuntando copia de la denuncia presentada y solicitaba el bloqueo o suspensión de la línea, un duplicado de la tarjeta y la reposición del aparato, hechos que afirmaba haber puesto en conocimiento de la compañía por teléfono sin que le diesen una solución .
El 16 de enero de 2006 envió una nueva carta al Servicio de Atención al Cliente una nueva carta en la que se identificaba con el nombre completo y el NIF en la que les comunicaba la baja como cliente en dicha compañía y en la que se adjuntaba una copia de la orden girada al banco de baja de la domiciliación del pago de los recibos emitidos.
La compañía, sin embargo, no le dio de baja en esta línea hasta el 28 de julio de 2006 por impago de tres recibos correspondientes a los meses de marzo, abril y mayo en concepto consumo mensual por importe de 6,96 euros cada mes. A instancia de la operadora el 21 de junio de 2006 se incluyó al ex cliente en un fichero de morosos de el impago de una deuda por importe de 20,88 euros.
La compañía alega que la solicitud de baja como cliente, por carta enviada a la compañía el 16 de enero de 2006, no podría producir efectos dado que la comunicación no iba acompañada de la acreditación de su identidad, mediante la aportación de la fotocopia del DNI del cliente, inclumpliéndose la cláusula 15 de las condiciones generales de contrato que suscribió con dicho cliente.
Solo se dio de baja al cliente en el servicio en julio por impago de tres recibos mensuales. Alegaba que la deuda era correcta y justificado el uso del fichero de morosos.
Análisis de la sentencia
Por el contrario, la sentencia estima que la cláusula del contrato titulada Extinción y resolución del contrato, establecía que "el contrato se extinguirá por las causas previstas en las presentes condiciones generales... el cliente tendrá derecho a resolver en cualquier momento el contrato, acreditando para ello su identidad mediante notificación fehaciente por escrito con una antelación mínima de quince días naturales al momento en que ha de surtir efectos".
La comunicación dirigida a su proveedor cumplía estas exigencias, pues el cliente comunicó a la compañía por carta con acuse de recibo, y por tanto de forma fehaciente, su baja como cliente, en la que se identificaba con el nombre completo y el NIF. De esta forma, la compañía debió de darle de baja en el servicio que tenía contratado en los quince días siguientes de la recepción de dicha comunicación sin que pudiera seguir girando los recibos mensuales de dicha línea como si tal comunicación no hubiera existido.
El artículo 44.3.d) de la Ley Orgánica de Protección de Datos (LOPD) tipifica como infracción grave tratar los datos de carácter personal con conculcación de los principios y garantías establecidas en la ley o en las disposiciones reglamentarias de desarrollo.
La sentencia concluye, que aquel que utiliza un medio extraordinario de cobro como la anotación de la deuda en un registro de morosos, debe garantizar el cumplimiento de todos los requisitos materiales (exactitud el dato) y formales (requerimiento previo) que permitan el empleo de este modo accesorio para conseguir el cobro de la deuda. (AN, 22 de octubre de 2010).
Fuente: Ecodiario eleconomista
Fecha: 08/11/2010
La posibilidad de que se trate de un robo o de perdida de un teléfono móvil y, por tanto, de la responsable del mismo, tras la presentación de una denuncia en comisaría, no obliga a la Agencia Española de Protección de Datos (AEPD) a esperar que haya una sentencia penal firme para iniciar un procedimiento sancionador en el que se investigue la inclusión de los datos del cliente como moroso sin la existencia de un requerimiento previo del pago de la deuda y respecto a una deuda inexistente.
El ponente, el magistrado Córdoba Castroverde, dictamina que este procedimiento no está predeterminado por ningún pronunciamiento que pudiera dictarse en el proceso penal y que obligase a su paralización para conocer el resultado de dicha investigación y eventualmente de la sentencia que pudiera recaer, no concurriendo, por tanto, los requisitos previstos en el artículo 7 apartados 2 y 3 del Real Decreto 1398/1993 "identidad de sujeto, hecho y fundamento entre la infracción administrativa y la infracción penal que pudiera corresponder".
Exposición de los hechos
En este caso, el titular del teléfono presentó denuncia el 30 de diciembre de 2005 por el robo de su terminal de teléfono. El 31 de diciembre de 2005 remitió escrito al Servicio de Atención al Cliente de su operadora, comunicando el robo del terminal, adjuntando copia de la denuncia presentada y solicitaba el bloqueo o suspensión de la línea, un duplicado de la tarjeta y la reposición del aparato, hechos que afirmaba haber puesto en conocimiento de la compañía por teléfono sin que le diesen una solución .
El 16 de enero de 2006 envió una nueva carta al Servicio de Atención al Cliente una nueva carta en la que se identificaba con el nombre completo y el NIF en la que les comunicaba la baja como cliente en dicha compañía y en la que se adjuntaba una copia de la orden girada al banco de baja de la domiciliación del pago de los recibos emitidos.
La compañía, sin embargo, no le dio de baja en esta línea hasta el 28 de julio de 2006 por impago de tres recibos correspondientes a los meses de marzo, abril y mayo en concepto consumo mensual por importe de 6,96 euros cada mes. A instancia de la operadora el 21 de junio de 2006 se incluyó al ex cliente en un fichero de morosos de el impago de una deuda por importe de 20,88 euros.
La compañía alega que la solicitud de baja como cliente, por carta enviada a la compañía el 16 de enero de 2006, no podría producir efectos dado que la comunicación no iba acompañada de la acreditación de su identidad, mediante la aportación de la fotocopia del DNI del cliente, inclumpliéndose la cláusula 15 de las condiciones generales de contrato que suscribió con dicho cliente.
Solo se dio de baja al cliente en el servicio en julio por impago de tres recibos mensuales. Alegaba que la deuda era correcta y justificado el uso del fichero de morosos.
Análisis de la sentencia
Por el contrario, la sentencia estima que la cláusula del contrato titulada Extinción y resolución del contrato, establecía que "el contrato se extinguirá por las causas previstas en las presentes condiciones generales... el cliente tendrá derecho a resolver en cualquier momento el contrato, acreditando para ello su identidad mediante notificación fehaciente por escrito con una antelación mínima de quince días naturales al momento en que ha de surtir efectos".
La comunicación dirigida a su proveedor cumplía estas exigencias, pues el cliente comunicó a la compañía por carta con acuse de recibo, y por tanto de forma fehaciente, su baja como cliente, en la que se identificaba con el nombre completo y el NIF. De esta forma, la compañía debió de darle de baja en el servicio que tenía contratado en los quince días siguientes de la recepción de dicha comunicación sin que pudiera seguir girando los recibos mensuales de dicha línea como si tal comunicación no hubiera existido.
El artículo 44.3.d) de la Ley Orgánica de Protección de Datos (LOPD) tipifica como infracción grave tratar los datos de carácter personal con conculcación de los principios y garantías establecidas en la ley o en las disposiciones reglamentarias de desarrollo.
La sentencia concluye, que aquel que utiliza un medio extraordinario de cobro como la anotación de la deuda en un registro de morosos, debe garantizar el cumplimiento de todos los requisitos materiales (exactitud el dato) y formales (requerimiento previo) que permitan el empleo de este modo accesorio para conseguir el cobro de la deuda. (AN, 22 de octubre de 2010).
Fuente: Ecodiario eleconomista
Fecha: 08/11/2010
jueves, 4 de noviembre de 2010
Asociaciones vecinales denuncian abandono fichas pacientes del Centro Rosales
Las Asociaciones de Vecinos de Latina, Carabanchel Alto y Parque Eugenia de Montijo han presentado una denuncia ante la Agencia Española de Protección de Datos por el "abandono" de fichas personales de internos y pacientes dentro del centro de menores Los Rosales, cerrado el pasado mes de abril.
Así lo ha manifestado hoy el representante de la Asociación vecinal de Carabanchel Alto, Pedro Casas, que ha asegurado que "las fichas están al alcance de cualquiera, porque el centro está totalmente abierto y se encuentra en una situación de abandono".
La denuncia, presentada el pasado 25 de octubre, recoge que el nombre, la medicación o las sanciones al interno son algunas de las informaciones que aparecen en las fichas, así como los permisos de vacaciones o los cambios de turno del personal, junto a los nombres y números de los documentos de identidad.
Por otra parte, el portavoz de la Asociación de Vecinos de Aluche, Julián Rebollo, ha anunciado nuevas actuaciones vecinales para "exigir" la construcción de un hospital público en los terrenos de la antigua cárcel de Carabanchel.
Rebollo ha acusado a la presidenta de la Comunidad de Madrid, Esperanza Aguirre, de "mentirosa" por "no cumplir sus compromisos electorales" y le reclama la construcción del centro para los 500.000 vecinos de la zona, además de la puesta en marcha del acuerdo con el hospital militar Gómez Ulla firmado entre el Ministerio de Defensa y la Comunidad de Madrid.
Rebollo ha reclamado "un servicio sanitario digno" y ha incidido en la necesidad de que Aguirre "resuelva los tramites administrativos" y no se escude en que Defensa "no le cede los terrenos".
El portavoz del colectivo vecinal ha anunciado que el próximo 14 de noviembre las asociaciones de vecinos pondrán "la segunda piedra" del hospital en los terrenos de la cárcel de Carabanchel. "Los vecinos haremos el hospital pese a quien le peses y diga lo que diga Aguirre", ha concluido.
Fuente: ABC
Fecha: 04/11/2010
Así lo ha manifestado hoy el representante de la Asociación vecinal de Carabanchel Alto, Pedro Casas, que ha asegurado que "las fichas están al alcance de cualquiera, porque el centro está totalmente abierto y se encuentra en una situación de abandono".
La denuncia, presentada el pasado 25 de octubre, recoge que el nombre, la medicación o las sanciones al interno son algunas de las informaciones que aparecen en las fichas, así como los permisos de vacaciones o los cambios de turno del personal, junto a los nombres y números de los documentos de identidad.
Por otra parte, el portavoz de la Asociación de Vecinos de Aluche, Julián Rebollo, ha anunciado nuevas actuaciones vecinales para "exigir" la construcción de un hospital público en los terrenos de la antigua cárcel de Carabanchel.
Rebollo ha acusado a la presidenta de la Comunidad de Madrid, Esperanza Aguirre, de "mentirosa" por "no cumplir sus compromisos electorales" y le reclama la construcción del centro para los 500.000 vecinos de la zona, además de la puesta en marcha del acuerdo con el hospital militar Gómez Ulla firmado entre el Ministerio de Defensa y la Comunidad de Madrid.
Rebollo ha reclamado "un servicio sanitario digno" y ha incidido en la necesidad de que Aguirre "resuelva los tramites administrativos" y no se escude en que Defensa "no le cede los terrenos".
El portavoz del colectivo vecinal ha anunciado que el próximo 14 de noviembre las asociaciones de vecinos pondrán "la segunda piedra" del hospital en los terrenos de la cárcel de Carabanchel. "Los vecinos haremos el hospital pese a quien le peses y diga lo que diga Aguirre", ha concluido.
Fuente: ABC
Fecha: 04/11/2010
El 26% de las empresas desconoce las implicaciones de la LOPD
A pesar de la importancia de su cumplimiento, aún hay muchas pequeñas y medianas empresas españolas despreocupadas por la Ley de Protección de Datos, según ISMS Forum Spain.
El 26,1% de las empresas españolas piensa no estar afectada por la legislación existente en materia de protección de datos; aún más, el 13,7% la desconoce totalmente la LOPD. Las cifras proceden de un reciente estudio del ISMS Forum Spain realizado con el objetivo de tomar el pulso a la sociedad en cuanto a su percepción de la seguridad de la información.
En este sentido, la asociación resalta que aunque el nivel de adopción de los servicios relacionados con la sociedad de la información –banca online y e- administración - es el mayor de Europa, tan sólo el 21% de las empresas encuestadas tiene un plan y política de seguridad.
Para tratar de promover la seguridad de la información entre el tejido empresarial, pero también en otros sectores de población, ISMS Forum Spain ha puesto en marcha el portal Protegetuinformacion.com, enmarcado en el Plan Avanza y desarrollado en colaboración con el Ministerio de Industria. Desde esta web, activa desde el próximo 1 de noviembre, se abordarán cuestiones como banca electrónica, redes sociales y protección de datos personales en Internet, con el fin de tratar de inculcar en la población española hábitos correctos que faciliten la seguridad en su uso de las tecnologías.
Con mensajes adaptados a cada tipo de población objetivo – menores, padres, adultos, mayores y profesionales – el portal ofrece información sobre los temas de interés, test para comprobar la comprensión de los riesgos, consejos y avisos, y actividades interactivas. Los usuarios podrán encontrar información, por ejemplo, sobre cómo prevenir incidentes de virus y hackers u opciones de seguridad de Internet Explorer.
En el caso de las empresas, los mensajes básicos de seguridad giran en torno a “actualización de los sistemas, Wi-Fi, phishing, cambio de contraseñas, concienciación y el factor humano como pieza clave en la seguridad de la información”, explicó Antonio Ramos, asesor y coordinador de la iniciativa del ISMS Forum Spain.
Fuente: CSO España
Autor: Arancha Asenjo
Fecha: 22/10/2010
El 26,1% de las empresas españolas piensa no estar afectada por la legislación existente en materia de protección de datos; aún más, el 13,7% la desconoce totalmente la LOPD. Las cifras proceden de un reciente estudio del ISMS Forum Spain realizado con el objetivo de tomar el pulso a la sociedad en cuanto a su percepción de la seguridad de la información.
En este sentido, la asociación resalta que aunque el nivel de adopción de los servicios relacionados con la sociedad de la información –banca online y e- administración - es el mayor de Europa, tan sólo el 21% de las empresas encuestadas tiene un plan y política de seguridad.
Para tratar de promover la seguridad de la información entre el tejido empresarial, pero también en otros sectores de población, ISMS Forum Spain ha puesto en marcha el portal Protegetuinformacion.com, enmarcado en el Plan Avanza y desarrollado en colaboración con el Ministerio de Industria. Desde esta web, activa desde el próximo 1 de noviembre, se abordarán cuestiones como banca electrónica, redes sociales y protección de datos personales en Internet, con el fin de tratar de inculcar en la población española hábitos correctos que faciliten la seguridad en su uso de las tecnologías.
Con mensajes adaptados a cada tipo de población objetivo – menores, padres, adultos, mayores y profesionales – el portal ofrece información sobre los temas de interés, test para comprobar la comprensión de los riesgos, consejos y avisos, y actividades interactivas. Los usuarios podrán encontrar información, por ejemplo, sobre cómo prevenir incidentes de virus y hackers u opciones de seguridad de Internet Explorer.
En el caso de las empresas, los mensajes básicos de seguridad giran en torno a “actualización de los sistemas, Wi-Fi, phishing, cambio de contraseñas, concienciación y el factor humano como pieza clave en la seguridad de la información”, explicó Antonio Ramos, asesor y coordinador de la iniciativa del ISMS Forum Spain.
Fuente: CSO España
Autor: Arancha Asenjo
Fecha: 22/10/2010
Multa de 6.000 euros a Vitalicio Seguros por tirar documentos confidenciales a la basura
La Agencia Española de Protección de Datos multó con 6.000 euros a la empresa Vitalicio Seguros después de que un empleado tirara miles de documentos confidenciales a un contendor de reciclaje de papel de Sevilla en abril del pasado año.
Según la resolución hecha pública en septiembre, la AEPD considera que con esa acción se vulnera la Ley Orgánica de Protección de Datos (LOPD), que establece que debe garantizarse "la seguridad de los objetos de carácter personal" y subraya que debe evitarse "su alteración, pérdida, tratamiento o acceso no autorizado".
A la hora de establecer la cuantía de la multa, la AEPD tuvo en cuenta las decisiones tomadas por la empresa para subsanar el error, tales como la incoación de un expediente sancionador al responsable o la creación de un Comité de Seguridad, con el objetivo de que en el futuro no vuelva a producirse una situación como la del pasado año.
Los responsables de la empresa admitieron que la trituradora funcionaba bien, pese a lo cual los documentos fueron trasladados al contenedor de reciclaje y tienen un mes desde la resolución para interponer recursos.
Gracias a la denuncia de un lector
En la resolución se explica que que la multa es el resultado de una investigación abierta tras recibir 20 minutos "la llamada de un lector" y visitar el contenedor, comprobando que "en su interior había una gran cantidad de papeles con el membrete de Vitalicio Seguros y que dicha documentación ha sido abandonada por un empleado de la sucursal".
En los documentos hallados en el contenedor figuraban los nombres de los agentes encargados de captar clientes y un listado de los que maneja cada uno de ellos, además de las liquidaciones correspondientes a su trabajo.
Fuente: 20 Minutos
Fecha: 29/10/2010
Según la resolución hecha pública en septiembre, la AEPD considera que con esa acción se vulnera la Ley Orgánica de Protección de Datos (LOPD), que establece que debe garantizarse "la seguridad de los objetos de carácter personal" y subraya que debe evitarse "su alteración, pérdida, tratamiento o acceso no autorizado".
A la hora de establecer la cuantía de la multa, la AEPD tuvo en cuenta las decisiones tomadas por la empresa para subsanar el error, tales como la incoación de un expediente sancionador al responsable o la creación de un Comité de Seguridad, con el objetivo de que en el futuro no vuelva a producirse una situación como la del pasado año.
Los responsables de la empresa admitieron que la trituradora funcionaba bien, pese a lo cual los documentos fueron trasladados al contenedor de reciclaje y tienen un mes desde la resolución para interponer recursos.
Gracias a la denuncia de un lector
En la resolución se explica que que la multa es el resultado de una investigación abierta tras recibir 20 minutos "la llamada de un lector" y visitar el contenedor, comprobando que "en su interior había una gran cantidad de papeles con el membrete de Vitalicio Seguros y que dicha documentación ha sido abandonada por un empleado de la sucursal".
En los documentos hallados en el contenedor figuraban los nombres de los agentes encargados de captar clientes y un listado de los que maneja cada uno de ellos, además de las liquidaciones correspondientes a su trabajo.
Fuente: 20 Minutos
Fecha: 29/10/2010
martes, 26 de octubre de 2010
Expuestos en Internet los datos de los ciudadanos que se registraron para no recibir spam
Un grave fallo de seguridad permitió acceder a través de Internet a los datos personales de cientos de ciudadanos que se habían registrado en la Lista Robinson, creada por la Agencia Española de Protección de Datos (AEPD) para aquellos usuarios que no quisiesen recibir información comercial a través de su teléfono móvil, teléfono fijo, correo ordinario o electrónico.
Como podemos leer en Security by Default, una importante vulnerabilidad fue descubierta en la llamada Lista Robinson una medida destinada a aquellos ciudadanos que hartos de recibir spam de cualquier tipo sin haberlo solicitado no fuesen víctimas de estas prácticas de dudosa legalidad. Según se indica desde la citada web, cualquier usuario o empresa pudo haber accedido a datos personales de los inscritos sin necesidad de registrarse como usuario ni como entidad autorizada.
El descubirdor de la falla explica el proceso paso a paso
La web expone el caso de un ciudadano que burló con cierta facilidad la seguridad del sistema para acceder a toda la información de los ciudadanos. Para ello sirvió con consultar el código de la web de la Lista Robinson y modificarlo de una sencilla forma. Esto le permitió acceder a una serie de funcionalidades que en teoría, sólo eran accesibles por parte de una entidad registrada y autorizada para consultar esta lista. De ahí consiguió acceder al programa que utilizan las entidades para consultar los datos y a través de su código fuente logró entrar en el FTP con los datos necesarios para hacerse con los datos privados de los ciudadanos allí registrados.
Según se informa desde la web, las investigaciones de este particular fueron remitidas a la la Federación de Comercio Electrónico y Marketing Directo (FECEMD), quien colaboró con la AEPD en la creación del servicio, y subsanó de forma rápida el problema. Sin embargo, no se sabe desde hace cuánto este fallo de seguridad afecta a un sistema que se creó hace más de un año.
No deja de ser llamativo que un servicio creado para proteger la intimidad de los ciudadanos y que no reciban las en ocasiones insoportables llamadas telefónicas haya sufrido una vulnerabilidad de este tipo. Por ello, es cuanto menos exigible que esta información sea tratada con el máximo cuidado ya que los usuarios han acudido a este registro de forma voluntaria y gratuita para evitar que sus datos caigan en manos de cualquier empresa con fines comerciales e insistencia infinita a la hora de publicitarse.
Fuente: ADSLZone
Fecha: 26/10/2010
Como podemos leer en Security by Default, una importante vulnerabilidad fue descubierta en la llamada Lista Robinson una medida destinada a aquellos ciudadanos que hartos de recibir spam de cualquier tipo sin haberlo solicitado no fuesen víctimas de estas prácticas de dudosa legalidad. Según se indica desde la citada web, cualquier usuario o empresa pudo haber accedido a datos personales de los inscritos sin necesidad de registrarse como usuario ni como entidad autorizada.
El descubirdor de la falla explica el proceso paso a paso
La web expone el caso de un ciudadano que burló con cierta facilidad la seguridad del sistema para acceder a toda la información de los ciudadanos. Para ello sirvió con consultar el código de la web de la Lista Robinson y modificarlo de una sencilla forma. Esto le permitió acceder a una serie de funcionalidades que en teoría, sólo eran accesibles por parte de una entidad registrada y autorizada para consultar esta lista. De ahí consiguió acceder al programa que utilizan las entidades para consultar los datos y a través de su código fuente logró entrar en el FTP con los datos necesarios para hacerse con los datos privados de los ciudadanos allí registrados.
Según se informa desde la web, las investigaciones de este particular fueron remitidas a la la Federación de Comercio Electrónico y Marketing Directo (FECEMD), quien colaboró con la AEPD en la creación del servicio, y subsanó de forma rápida el problema. Sin embargo, no se sabe desde hace cuánto este fallo de seguridad afecta a un sistema que se creó hace más de un año.
No deja de ser llamativo que un servicio creado para proteger la intimidad de los ciudadanos y que no reciban las en ocasiones insoportables llamadas telefónicas haya sufrido una vulnerabilidad de este tipo. Por ello, es cuanto menos exigible que esta información sea tratada con el máximo cuidado ya que los usuarios han acudido a este registro de forma voluntaria y gratuita para evitar que sus datos caigan en manos de cualquier empresa con fines comerciales e insistencia infinita a la hora de publicitarse.
Fuente: ADSLZone
Fecha: 26/10/2010
¿Las historias clínicas se guardan bajo llave?
¿Los dispositivos de almacenamiento de las historias clínicas disponen de mecanismos que obstaculicen su apertura (por ejemplo, archivadores con cerradura)? ¿Disponen de medidas de destrucción y desecho de la información que garanticen la confidencialidad e imposibiliten su acceso a terceras personas no autorizadas? ¿Se informa al personal de limpieza sobre la necesidad de garantizar la confidencialidad de los datos (por ejemplo, en la recogida de la basura)? Y así hasta 50 preguntas conformaban el cuestionario que -hasta el 31 de julio, como fecha límite- tuvieron que responder los 23 centros hospitalarios del Principado (11 privados y 12 públicos) que colaboraron con la Agencia Española de Protección de Datos en la elaboración de un informe con el que este organismo ha podido concluir que uno de cada tres hospitales españoles incumple la actual normativa sobre protección de datos de los pacientes.
Dice el director de la Agencia, Artami Rallo, que la iniciativa de evaluarlos surgió tras tener constancia de casos «alarmantes», como que información relativa a determinados enfermos podía encontrarse en redes de intercambio de archivos en internet, como e-Mule, o que documentación clínica había aparecido abandonada en contenedores de basura en la vía pública.
En Asturias no han trascendido episodios de tanta gravedad y, además, la región sale bastante bien parada de la investigación llevada a cabo por la Agencia Española de Protección de Datos -algo de lo que no pueden presumir Cantabria, Aragón, Canarias y la Comunidad Valenciana, las peor clasificadas en el estudio-. Aún así, hay dos manchas que empañan el expediente de los hospitales asturianos en materia de protección de datos: sólo el 25% de los centros públicos incluye la cláusula informativa en los formularios de recogida de datos de los pacientes y sólo un 8,3% del conjunto de hospitales evaluados realiza una auditoría de seguridad cada dos años, como establece la Ley Orgánica de Protección de Datos (LOPD).
En términos generales, el informe revela que el grado de incumplimiento de la normativa española es mayor en los hospitales públicos que en los privados. Así, de los 268 centros de la red sanitaria pública evaluados, más de la mitad (159) deberá introducir alguna medida correctora. Como en Asturias, en el conjunto del país los principales incumplimientos detectados tienen que ver con la implantación de medidas de seguridad y custodia de la información, la inclusión de cláusulas informativas en la recogida de datos y la realización de auditorías de seguridad.
En la presentación del estudio, Artami Rallo reconoció que los resultados del mismo «no sorprenden» y que conectan «perfectamente» con las preocupaciones que suscitaron la realización del examen que, por cierto, no distingue entre centros que han implantado la historia clínica digital y los que aún no lo han hecho. Lo que sí prevé Rallo es que la nueva técnica contribuirá a mejorar el cumplimiento de la legislación de protección de datos.
Multas sólo para los privados
La normativa actual no establece ningún régimen sancionador de tipo económico para las entidades públicas que incumplan la ley. Lo que se hace en estos casos es trasladar las deficiencias detectadas tanto a la consejería de Salud de cada comunidad autónoma como al Defensor del Pueblo. Para quien sí se contemplan multas es para los hospitales privados. En función de la gravedad de la infracción, las sanciones pueden ir desde los 600 a los 600.000 euros.
En los cuatro últimos años, la Agencia Española de Protección de Datos atendió una decena de denuncias formuladas por pacientes asturianos y que guardaba relación con el acceso a datos clínicos o con el uso indebido de los mismos. Entre los hospitales denunciados figuran el Hospital Central, Cabueñes, Jarrio y San Agustín. La mayor parte de los casos corresponden a personas que han tenido dificultades para hacerse con su historia clínica o con datos sanitarios de un familiar fallecido. También se denunció la publicación de datos personales en internet.
Fuente: El COmercio Digital
Fecha: 16/10/2010
Dice el director de la Agencia, Artami Rallo, que la iniciativa de evaluarlos surgió tras tener constancia de casos «alarmantes», como que información relativa a determinados enfermos podía encontrarse en redes de intercambio de archivos en internet, como e-Mule, o que documentación clínica había aparecido abandonada en contenedores de basura en la vía pública.
En Asturias no han trascendido episodios de tanta gravedad y, además, la región sale bastante bien parada de la investigación llevada a cabo por la Agencia Española de Protección de Datos -algo de lo que no pueden presumir Cantabria, Aragón, Canarias y la Comunidad Valenciana, las peor clasificadas en el estudio-. Aún así, hay dos manchas que empañan el expediente de los hospitales asturianos en materia de protección de datos: sólo el 25% de los centros públicos incluye la cláusula informativa en los formularios de recogida de datos de los pacientes y sólo un 8,3% del conjunto de hospitales evaluados realiza una auditoría de seguridad cada dos años, como establece la Ley Orgánica de Protección de Datos (LOPD).
En términos generales, el informe revela que el grado de incumplimiento de la normativa española es mayor en los hospitales públicos que en los privados. Así, de los 268 centros de la red sanitaria pública evaluados, más de la mitad (159) deberá introducir alguna medida correctora. Como en Asturias, en el conjunto del país los principales incumplimientos detectados tienen que ver con la implantación de medidas de seguridad y custodia de la información, la inclusión de cláusulas informativas en la recogida de datos y la realización de auditorías de seguridad.
En la presentación del estudio, Artami Rallo reconoció que los resultados del mismo «no sorprenden» y que conectan «perfectamente» con las preocupaciones que suscitaron la realización del examen que, por cierto, no distingue entre centros que han implantado la historia clínica digital y los que aún no lo han hecho. Lo que sí prevé Rallo es que la nueva técnica contribuirá a mejorar el cumplimiento de la legislación de protección de datos.
Multas sólo para los privados
La normativa actual no establece ningún régimen sancionador de tipo económico para las entidades públicas que incumplan la ley. Lo que se hace en estos casos es trasladar las deficiencias detectadas tanto a la consejería de Salud de cada comunidad autónoma como al Defensor del Pueblo. Para quien sí se contemplan multas es para los hospitales privados. En función de la gravedad de la infracción, las sanciones pueden ir desde los 600 a los 600.000 euros.
En los cuatro últimos años, la Agencia Española de Protección de Datos atendió una decena de denuncias formuladas por pacientes asturianos y que guardaba relación con el acceso a datos clínicos o con el uso indebido de los mismos. Entre los hospitales denunciados figuran el Hospital Central, Cabueñes, Jarrio y San Agustín. La mayor parte de los casos corresponden a personas que han tenido dificultades para hacerse con su historia clínica o con datos sanitarios de un familiar fallecido. También se denunció la publicación de datos personales en internet.
Fuente: El COmercio Digital
Fecha: 16/10/2010
Los hospitales gallegos obvian la protección de datos
Uno de cada tres hospitales españoles no cumple con la Ley Orgánica de Protección de Datos (LOPD), que obliga a implantar medidas de seguridad y confidencialidad de la información sanitaria y las historias clínicas de los pacientes, según los resultados de un estudio de la Agencia Española de Protección de Datos (AEPD). El mismo informe advierte de que Galicia se encuentra entre las comunidades que menos incluyen clausulas sobre el destino de las referencias que se le piden a los pacientes.
La inclusión de la cláusula informativa en los formularios de recogida de datos de los pacientes es particularmente baja en los hospitales públicos de Aragón (5%), Castilla y León (23%), Asturias (25%), Canarias (27%) y Galicia (32%).
Para esta investigación se ha requerido información a más de 600 hospitales públicos y privados registrados en el Catálogo Nacional de Hospitales. De este modo, se incluyeron centros todas las comunidades autónomas salvo Cataluña y Madrid y el País Vasco, donde solo participaron hospitales privados.
Un total de 562 centros hospitalarios accedieron a facilitar los datos demandados por la AEPD y, de estos, 202 presentaron “deficiencias de cumplimiento” en algún punto de la ley, que deberán “subsanar” en un plazo máximo de seis meses para no volver a ser apercibidos.
LOS PRIVADOS, MEJOR
La investigación muestra cómo el grado de incumplimiento de la normativa española de protección de datos es mayor en los centros públicos, ya que de los 268 hospitales del Sistema Nacional de Salud (SNS) analizados más de la mitad (159) deberán hacer correcciones.
De este modo, el 30% de los centros de titularidad autonómica analizados no dispone de medidas para evitar la sustracción, pérdida o acceso indebido a las historias clínicas de los pacientes y hasta el 37% no cuenta con un registro con todos los accesos a la información confidencial de que dispone.
Otro dato “especialmente preocupante”, según el director de la AEPD, Artemi Rallo, es el hecho de que un 66% de los hospitales públicos no realice una auditoría bianual de seguridad como marca la ley, algo que sí hace el 88% de los hospitales privados. En este caso, la situación de la comunidad mejora considerablemente, ya que cumplen con el protocolo más del 90% de los centros.
La normativa actual no establece ningún régimen sancionador de tipo económico para cualquier entidad pública que incumpla con la ley, según explica Rallo, por lo que en estos casos se informa de todas las carencias observadas. Por contra, para los incumplimientos en la sanidad privada la ley establece un régimen sancionador con multas que pueden variar de entre 600 y 600.000 euros.
Fuente: Xornal
Fecha: 15/10/2010
La inclusión de la cláusula informativa en los formularios de recogida de datos de los pacientes es particularmente baja en los hospitales públicos de Aragón (5%), Castilla y León (23%), Asturias (25%), Canarias (27%) y Galicia (32%).
Para esta investigación se ha requerido información a más de 600 hospitales públicos y privados registrados en el Catálogo Nacional de Hospitales. De este modo, se incluyeron centros todas las comunidades autónomas salvo Cataluña y Madrid y el País Vasco, donde solo participaron hospitales privados.
Un total de 562 centros hospitalarios accedieron a facilitar los datos demandados por la AEPD y, de estos, 202 presentaron “deficiencias de cumplimiento” en algún punto de la ley, que deberán “subsanar” en un plazo máximo de seis meses para no volver a ser apercibidos.
LOS PRIVADOS, MEJOR
La investigación muestra cómo el grado de incumplimiento de la normativa española de protección de datos es mayor en los centros públicos, ya que de los 268 hospitales del Sistema Nacional de Salud (SNS) analizados más de la mitad (159) deberán hacer correcciones.
De este modo, el 30% de los centros de titularidad autonómica analizados no dispone de medidas para evitar la sustracción, pérdida o acceso indebido a las historias clínicas de los pacientes y hasta el 37% no cuenta con un registro con todos los accesos a la información confidencial de que dispone.
Otro dato “especialmente preocupante”, según el director de la AEPD, Artemi Rallo, es el hecho de que un 66% de los hospitales públicos no realice una auditoría bianual de seguridad como marca la ley, algo que sí hace el 88% de los hospitales privados. En este caso, la situación de la comunidad mejora considerablemente, ya que cumplen con el protocolo más del 90% de los centros.
La normativa actual no establece ningún régimen sancionador de tipo económico para cualquier entidad pública que incumpla con la ley, según explica Rallo, por lo que en estos casos se informa de todas las carencias observadas. Por contra, para los incumplimientos en la sanidad privada la ley establece un régimen sancionador con multas que pueden variar de entre 600 y 600.000 euros.
Fuente: Xornal
Fecha: 15/10/2010
"La tecnología para la protección de datos existe, falta la concienciación"
Los datos personales de los pacientes en el sector sanitario son de gran sensibilidad y los centros sanitarios deben implementar en sus instalaciones las medidas de seguridad convenientes para el buen uso de los mismos y, a la vez, cumplir con la nueva Ley Orgánica de Protección de Datos (LOPD).
El nuevo reglamento define aspectos que la anterior normativa no dejaba resueltos y sobre los que se habían ido asentando criterios de la Agencia Española de Protección de Datos (AEPD) y la jurisprudencia, en la práctica del día a día, de diferentes organizaciones. "No obstante, aún quedan muchos puntos y nuevos problemas emergentes que no resuelve la nueva norma y sobre los que habrá que trabajar en los próximos años", indica Carlos Alberto Saiz, socio de Governance, Risk & Compliance IT ÉCIJA. Sin embargo, destaca "el impulso que ha generado el reglamento con nuevas medidas para los ficheros que se encuentran en soporte papel".
Sobre las normas que se establecen en relación a la LOPD en cada comunidad autónoma, Saiz explica que "existen diferentes normativas pero con un cuerpo troncal similar". Es necesario recordar, apunta, "que Madrid, Cataluña y País Vasco tiene una Autoridad Autonómica de Protección de Datos con competencia en el ámbito público, mientras que la Agencia Española tiene competencia en el ámbito privado y en el público del resto de comunidades".
Además, Sanidad también sucumbe a la proliferación de los servicios web de los organismos públicos para los ciudadanos, que vienen amparados por el reciente Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Es imprescindible, indica Saiz, "dotar de la necesaria seguridad a la información y transacciones que se realizan en el sector sanitario y, esta norma, establece un marco de gestión de la seguridad que la telemedicina debe cumplir para garantizar la confidencialidad, disponibilidad e integridad de la información de los pacientes".
En este ámbito de protección de datos, también encontramos la ISO 27799, en la que, hasta ahora, se habían basado varias organizaciones sanitarias para la gestión de riesgos y seguridad en la información. Sin embargo, prima el nuevo Esquema Nacional de Seguridad y todas las organizaciones deberán adaptarse a sus requerimientos. "Esta norma común es necesaria y la adaptación será más sencilla, sin duda, para aquellas entidades que se hayan basado primero en la ISO 27799", asegura Saiz.
A la hora de proteger los datos durante la realización de ensayos clínicos, Saiz asegura que "existen varios casos de éxito y que, además, se han mejorado las técnicas para disociar o hacer anónimos los datos". Sin embargo, añade, "aún queda camino para que todos los ensayos clínicos, públicos y privados, partan de una metodología común que respete la privacidad de los pacientes".
En definitiva, los requisitos normativos sobre el tratamiento de la información adquieren especial importancia en el sector sanitario, donde casi todos los datos son sensibles y son muchos los profesionales y departamentos que acceden a la información. Existe la tecnología y las medidas adecuadas para su protección, pero "sigue siendo necesaria la concienciación y la difusión de la cultura de la seguridad para que llegue a todos los rincones de actuación y se consiga minimizar los errores del factor humano", sentencia Saiz.
Fuente: Expansion
Fecha: 08/10/2010
El nuevo reglamento define aspectos que la anterior normativa no dejaba resueltos y sobre los que se habían ido asentando criterios de la Agencia Española de Protección de Datos (AEPD) y la jurisprudencia, en la práctica del día a día, de diferentes organizaciones. "No obstante, aún quedan muchos puntos y nuevos problemas emergentes que no resuelve la nueva norma y sobre los que habrá que trabajar en los próximos años", indica Carlos Alberto Saiz, socio de Governance, Risk & Compliance IT ÉCIJA. Sin embargo, destaca "el impulso que ha generado el reglamento con nuevas medidas para los ficheros que se encuentran en soporte papel".
Sobre las normas que se establecen en relación a la LOPD en cada comunidad autónoma, Saiz explica que "existen diferentes normativas pero con un cuerpo troncal similar". Es necesario recordar, apunta, "que Madrid, Cataluña y País Vasco tiene una Autoridad Autonómica de Protección de Datos con competencia en el ámbito público, mientras que la Agencia Española tiene competencia en el ámbito privado y en el público del resto de comunidades".
Además, Sanidad también sucumbe a la proliferación de los servicios web de los organismos públicos para los ciudadanos, que vienen amparados por el reciente Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Es imprescindible, indica Saiz, "dotar de la necesaria seguridad a la información y transacciones que se realizan en el sector sanitario y, esta norma, establece un marco de gestión de la seguridad que la telemedicina debe cumplir para garantizar la confidencialidad, disponibilidad e integridad de la información de los pacientes".
En este ámbito de protección de datos, también encontramos la ISO 27799, en la que, hasta ahora, se habían basado varias organizaciones sanitarias para la gestión de riesgos y seguridad en la información. Sin embargo, prima el nuevo Esquema Nacional de Seguridad y todas las organizaciones deberán adaptarse a sus requerimientos. "Esta norma común es necesaria y la adaptación será más sencilla, sin duda, para aquellas entidades que se hayan basado primero en la ISO 27799", asegura Saiz.
A la hora de proteger los datos durante la realización de ensayos clínicos, Saiz asegura que "existen varios casos de éxito y que, además, se han mejorado las técnicas para disociar o hacer anónimos los datos". Sin embargo, añade, "aún queda camino para que todos los ensayos clínicos, públicos y privados, partan de una metodología común que respete la privacidad de los pacientes".
En definitiva, los requisitos normativos sobre el tratamiento de la información adquieren especial importancia en el sector sanitario, donde casi todos los datos son sensibles y son muchos los profesionales y departamentos que acceden a la información. Existe la tecnología y las medidas adecuadas para su protección, pero "sigue siendo necesaria la concienciación y la difusión de la cultura de la seguridad para que llegue a todos los rincones de actuación y se consiga minimizar los errores del factor humano", sentencia Saiz.
Fuente: Expansion
Fecha: 08/10/2010
¿Acumula datos de clientes? Incumplir la ley le puede costar 600.000 euros
¿Sabía que no puede usar la fecha de nacimiento de uno de sus empleados para felicitarle por su cumpleaños? ¿O que no puede ceder datos de sus clientes a un tercero sin el consentimiento de éstos? La respuesta está en la Ley Orgánica de Protección de Datos (LOPD), una norma fundamental que afecta a todas las empresas, grandes, pequeñas y de cualquier sector, y que sin embargo, según confiesa un abogado, "es imposible cumplir al cien por cien".
De hecho, y según datos del Instituto Nacional de Tecnologías de la Información del Ministerio de Industria, un mayoritario 96% de las pymes españolas de menos de 50 empleados disponen de datos de carácter personal, y están por tanto sujetas a la LOPD. De éstas, sólo el 16% declaran los ficheros ante la Agencia de Protección de Datos.
Pero hay más formas de incumplir con la ley. Un ejemplo: tengo un responsable de Recursos Humanos que no avisa al posible candidato a ocupar un puesto de que su currículum se va a incluir en un fichero, y que se va a mantener ahí por espacio de tiempo de un año. Ya se está incumpliendo con la LOPD. Y es que además de los aspectos técnicos y legales que implica la ley de protección, gestión y tratamiento de datos, están los meramente organizativos, que suelen ser los más complicados.
Ficheros lógicos
Pero vayamos por pasos. El primero de ellos, según explica Miguel Geijo, asociado de mercantil en Garrigues, es la identificación de todos datos de carácter personal susceptibles de ser tratados por los empleados de la empresa. A partir de ahí, hay que ordenarlos. Pero no de cualquier manera. En ficheros lógicos que, por ejemplo, separen los datos de empleados, candidatos, clientes y target -potenciales clientes-. Ojo, porque hablamos en todo momento de datos de personas físicas; la ley excluye a las jurídicas, esto es, no tenemos por qué incluir a una empresa.
Llega el momento de identificarlos: ver la naturaleza de cada dato (si es de salud, de afiliación sindical, financiero...), el uso que estoy haciendo del mismo y posibles cesiones a terceros.
Ceder referencias a terceros
Este último punto es muy im-portante. Como explica Antonio Sánchez-Crespo López, socio director de Sánchez-Crespo Abogados, hay varios escenarios posibles en los que una empresa cede sus datos a un tercero: pensemos en un servicios de consultoría, una gestoría, una empresa de mantenimiento informático, una asesoría... En este caso, hay que firmar un contrato en el que tiene que quedar constancia de: las instrucciones, los fines concretos para los que se pueden tratar los datos o acceder a los ficheros, prohibición expresa de cederlos a terceros, las medidas de seguridad que tienen que seguir y la necesidad de devolverlos o destruirlos cuando termine la prestación de servicios.
Una vez tenemos los ficheros ordenados hay que determinar las medidas de seguridad que requieren, y si nos basta con un nivel básico, o hay que subir al intermedio o al superior. Por cierto, hay datos, como antecedentes penales, que no se pueden tener. Y entre los que requieren mayor protección: afiliación sindical, datos de salud, creencias religiosas, políticas... Es más, algunos no sólo los regula la LOPD, los sanitarios, por ejemplo, están regulados, además, por la Ley de Autonomía del Paciente. Los financieros y los relativos al mundo de las telecomunicaciones también gozan de regulación específica.
¿Cómo protegerlos? Mediante servicios de backup o copias de seguridad, y con cambios frecuentes (cada 15 días) de las coordenadas de seguridad, si son electrónicos, o directamente restringiendo el acceso físico a los ficheros si éstos son de papel.
Llega el momento de declarar a la agencia de protección de datos los ficheros que tenemos en nuestra posesión e inscribirlos en el Registro general de protección de datos. En 2006, por ejemplo, había más de 815.000 ficheros inscritos.
Inscribirlos equivale a cumplimentar un documento, accesible desde la web de la agencia (programa NOTA) en el que se da cuenta de los datos de la compañía, finalidad de los ficheros, los encargados de su mantenimiento, etc.
Todo este procesos requiere, cómo no, unos gastos para la empresa y puede compensar externalizar a un tercero la elaboración, mantenimiento y actualización de los ficheros. Aunque Sánchez-Crespo habla de "inversión" más que gasto. Entre otros beneficios, destaca que crea seguridad jurídica en el entorno de personas con el que se relaciona la empresa -clientes, proveedores...-. También permite organizar los recursos humanos a través de los perfiles de cada uno, mejora la gestión de seguridad de la información y, cómo no, evita sanciones administrativas.
Fuente: El Economista
Fecha: 04/10/2010
De hecho, y según datos del Instituto Nacional de Tecnologías de la Información del Ministerio de Industria, un mayoritario 96% de las pymes españolas de menos de 50 empleados disponen de datos de carácter personal, y están por tanto sujetas a la LOPD. De éstas, sólo el 16% declaran los ficheros ante la Agencia de Protección de Datos.
Pero hay más formas de incumplir con la ley. Un ejemplo: tengo un responsable de Recursos Humanos que no avisa al posible candidato a ocupar un puesto de que su currículum se va a incluir en un fichero, y que se va a mantener ahí por espacio de tiempo de un año. Ya se está incumpliendo con la LOPD. Y es que además de los aspectos técnicos y legales que implica la ley de protección, gestión y tratamiento de datos, están los meramente organizativos, que suelen ser los más complicados.
Ficheros lógicos
Pero vayamos por pasos. El primero de ellos, según explica Miguel Geijo, asociado de mercantil en Garrigues, es la identificación de todos datos de carácter personal susceptibles de ser tratados por los empleados de la empresa. A partir de ahí, hay que ordenarlos. Pero no de cualquier manera. En ficheros lógicos que, por ejemplo, separen los datos de empleados, candidatos, clientes y target -potenciales clientes-. Ojo, porque hablamos en todo momento de datos de personas físicas; la ley excluye a las jurídicas, esto es, no tenemos por qué incluir a una empresa.
Llega el momento de identificarlos: ver la naturaleza de cada dato (si es de salud, de afiliación sindical, financiero...), el uso que estoy haciendo del mismo y posibles cesiones a terceros.
Ceder referencias a terceros
Este último punto es muy im-portante. Como explica Antonio Sánchez-Crespo López, socio director de Sánchez-Crespo Abogados, hay varios escenarios posibles en los que una empresa cede sus datos a un tercero: pensemos en un servicios de consultoría, una gestoría, una empresa de mantenimiento informático, una asesoría... En este caso, hay que firmar un contrato en el que tiene que quedar constancia de: las instrucciones, los fines concretos para los que se pueden tratar los datos o acceder a los ficheros, prohibición expresa de cederlos a terceros, las medidas de seguridad que tienen que seguir y la necesidad de devolverlos o destruirlos cuando termine la prestación de servicios.
Una vez tenemos los ficheros ordenados hay que determinar las medidas de seguridad que requieren, y si nos basta con un nivel básico, o hay que subir al intermedio o al superior. Por cierto, hay datos, como antecedentes penales, que no se pueden tener. Y entre los que requieren mayor protección: afiliación sindical, datos de salud, creencias religiosas, políticas... Es más, algunos no sólo los regula la LOPD, los sanitarios, por ejemplo, están regulados, además, por la Ley de Autonomía del Paciente. Los financieros y los relativos al mundo de las telecomunicaciones también gozan de regulación específica.
¿Cómo protegerlos? Mediante servicios de backup o copias de seguridad, y con cambios frecuentes (cada 15 días) de las coordenadas de seguridad, si son electrónicos, o directamente restringiendo el acceso físico a los ficheros si éstos son de papel.
Llega el momento de declarar a la agencia de protección de datos los ficheros que tenemos en nuestra posesión e inscribirlos en el Registro general de protección de datos. En 2006, por ejemplo, había más de 815.000 ficheros inscritos.
Inscribirlos equivale a cumplimentar un documento, accesible desde la web de la agencia (programa NOTA) en el que se da cuenta de los datos de la compañía, finalidad de los ficheros, los encargados de su mantenimiento, etc.
Todo este procesos requiere, cómo no, unos gastos para la empresa y puede compensar externalizar a un tercero la elaboración, mantenimiento y actualización de los ficheros. Aunque Sánchez-Crespo habla de "inversión" más que gasto. Entre otros beneficios, destaca que crea seguridad jurídica en el entorno de personas con el que se relaciona la empresa -clientes, proveedores...-. También permite organizar los recursos humanos a través de los perfiles de cada uno, mejora la gestión de seguridad de la información y, cómo no, evita sanciones administrativas.
Fuente: El Economista
Fecha: 04/10/2010
Suscribirse a:
Entradas (Atom)
Entradas
