El Tribunal Supremo pedirá al Tribunal de Justicia de las Comunidades Europeas que se pronuncie sobre la legalidad de una parte de la normativa española de protección de datos, que restringe el desarrollo de ficheros de morosos que incluyan datos sin el consentimiento de los afectados.
En un auto conocido hoy, la Sala de lo Contencioso-Administrativo acepta así una de las peticiones planteadas por la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF), que en colaboración con Equifax, una agencia estadounidense de control de crédito, gestiona el mayor fichero de morosos de España.
Los magistrados del Supremo entienden que el reglamento de 2007 que desarrolla la Ley de Protección de Datos sólo permite que los ficheros de morosos traten y comuniquen datos que sean públicos, si no tienen el consentimiento de los afectados.
"A juicio de esta Sala, esa restricción erige un obstáculo a la libre circulación de los datos de carácter personal no querido, en principio, por la norma comunitaria", señala el auto, que añade que el único obstáculo europeo es "el interés de los derechos y las libertades fundamentales del titular de los datos".
El Alto tribunal recuerda no obstante que la directiva 95/46/CE prohíbe a los Estados miembros restringir de forma generalizada el tratamiento de los datos personales atendiendo, en particular, al derecho a la intimidad.
Tras concluir que "no cabe que los Estados miembros impongan mayores restricciones que las previstas por el legislador comunitario", los magistrados concluyen que procede plantear la cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, cuya resolución podría conllevar la anulación de parte del reglamento de 2007.
El auto, fechado el pasado 15 de julio, va acompañado de una sentencia que resuelve el resto del recurso planteado por ASNEF, que había impugnado el contenido de 23 artículos del reglamento.
La Sala de lo Contencioso-Administrativo estima parcialmente el recurso y anula, "por ser disconformes a derecho", partes o la totalidad de cuatro artículos.
Entre ellos, destaca la anulación de una parte del artículo 38.1, que permitía incluir datos de solvencia siempre que no se hubiera entablado reclamación judicial, arbitral o administrativa o que, tratándose de servicios financieros, no se hubiera planteado una reclamación ante el defensor del cliente.
Los magistrados entienden que la vaguedad de la redacción permite "considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero".
También suprimen el artículo 38.2, que obligaba a los gestores de los ficheros de morosos a cancelar cautelarmente datos personales cuando existiera un "principio de prueba" de que se habían incluido indebidamente en dichos registros.
A juicio del Supremo, el artículo impone esa obligación a los gestores "en términos tales que origina una gran inseguridad jurídica que puede dar lugar a la apertura de expedientes sancionadores".
Asimismo, se rechaza que la Agencia Española de Protección de Datos pueda designar para la realización de actuaciones previas al inicio de un procedimiento sancionador a funcionarios no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en el organismo.
Entre los dos artículos suprimidos totalmente, destaca el artículo 18 (que obligaba a que los ficheros de morosos acreditaran mediante medios informáticos o telemáticos haber cumplido el deber de informar al cliente de la cesión de datos), ya que en opinión del Alto Tribunal establece una obligación adicional al margen de la Ley de Protección de Datos
Fuente: Expansion
Fecha: 28/07/2010
jueves, 29 de julio de 2010
Condenada una clínica a pagar 60.000 euros por no entregar historial paciente
La Agencia Española de Protección de Datos ha condenado a las clínicas de cirugía estética Dorsia a pagar una sanción de más de 60.000 euros por no entregar el historial clínico a una paciente que lo había solicitado, ha informado hoy la organización Defensor del Paciente.
La infracción del artículo número 15 de la Ley Organización de Protección de Datos, tipificada como grave, conlleva además de esta multa la entrega de la historia clínica completa a la paciente en un plazo de diez días desde la notificación.
El Defensor del Paciente ha aplaudido la actuación de los representantes de la Agencia por hacer cumplir una ley que considera permanentemente "violada", ya que se ha registrado un aumento de denuncias de ciudadanos a los que se les impide acceder a su historial.
La organización ha instando a todos los afectados a denunciar estos hechos, tanto si el documento no se le facilita al paciente como a sus familiares, en el caso de que éste hubiese fallecido.
También pide que las sanciones sean extensivas a los gerentes o directores médicos de los hospitales públicos, que deberían ser el "principal garante" del cumplimiento de la normativa.
Fuente: ABC
Fecha: 28/07/2010
La infracción del artículo número 15 de la Ley Organización de Protección de Datos, tipificada como grave, conlleva además de esta multa la entrega de la historia clínica completa a la paciente en un plazo de diez días desde la notificación.
El Defensor del Paciente ha aplaudido la actuación de los representantes de la Agencia por hacer cumplir una ley que considera permanentemente "violada", ya que se ha registrado un aumento de denuncias de ciudadanos a los que se les impide acceder a su historial.
La organización ha instando a todos los afectados a denunciar estos hechos, tanto si el documento no se le facilita al paciente como a sus familiares, en el caso de que éste hubiese fallecido.
También pide que las sanciones sean extensivas a los gerentes o directores médicos de los hospitales públicos, que deberían ser el "principal garante" del cumplimiento de la normativa.
Fuente: ABC
Fecha: 28/07/2010
Publicados los datos de 100 millones de usuarios de Facebook
Ron Bowles, un experto en temas de seguridad en Internet, utilizó un código de programación para recolectar datos de 100 millones de perfiles de la red social Facebook en los que no se habían configurado los filtros de seguridad. Con ellos hizo una lista y la difundió por Internet. Su supuesta intención, tal como explica en su blog, era demostrar los problemas de privacidad que tiene Facebook,
La lista llegó al sitio de descargas Pirate Bay y fue compartida por unos 1.000 internautas. El archivo que circula ahora por la Red con los datos de los 100 millones de usuarios también incluye el código de programación que Bowles utilizó para escanear el directorio de la red social.
Facebook, que estos días celebra haber llegado a los 500 millones de usuarios , indicó a la BBC a través de un comunicado que la información de la lista ya estaba disponible antes del anuncio de Bowles en un directorio que recoge a todos los usuarios cuyo perfil está abierto aunque sea parcialmente.
"Las personas que utilizan Facebook son dueñas de su información y tienen el derecho de compartir sólo aquello que desean, con quien desean y cuando lo desean", según el comunicado. "No hay datos privados disponibles o que hayan sido comprometidos", agrega la empresa.
Un fallo anunciado
Algunos analistas señalan que, aunque esta información fuera efectivamente accesible desde el directorio de la red social, que ahora esté organizada en una lista con nombres y números de identificación convierte en más sencillo para extraños recopilar direcciones de correo electrónico o datos sobre la ubicación geográfica de los usuarios de Facebook, entre otras informaciones.
El experto de la ONG Privacy International Simon Davies ha explicado a la BBC que Facebook había recibido amplias advertencias de que esto pasaría: "Facebook debería haberse anticipado a este ataque y tomado medidas para prevenirlo. Davis asegura que ella lista pudo hacerse gracias a "la confusión en torno a las configuraciones de privacidad".
Hace pocos meses se desató una polémica relacionada con la complejidad de las configuraciones de privacidad de Facebook. La empresa respondió al malestar de los usuarios con una contestada simplificación de los controles.
Los usuarios de Facebook que quieren evitar que la información de su perfil sea accesible, tienen que entrar en las opciones de privacidad de la red social y cambiar su perfil de "Abierto" a "Solamente amigos". Modificando los parámetros de privacidad también se puede evitar que los datos sean accesibles desde Google u otros buscadores.
Fuente: El Pais
Fecha: 29/07/2010
La lista llegó al sitio de descargas Pirate Bay y fue compartida por unos 1.000 internautas. El archivo que circula ahora por la Red con los datos de los 100 millones de usuarios también incluye el código de programación que Bowles utilizó para escanear el directorio de la red social.
Facebook, que estos días celebra haber llegado a los 500 millones de usuarios , indicó a la BBC a través de un comunicado que la información de la lista ya estaba disponible antes del anuncio de Bowles en un directorio que recoge a todos los usuarios cuyo perfil está abierto aunque sea parcialmente.
"Las personas que utilizan Facebook son dueñas de su información y tienen el derecho de compartir sólo aquello que desean, con quien desean y cuando lo desean", según el comunicado. "No hay datos privados disponibles o que hayan sido comprometidos", agrega la empresa.
Un fallo anunciado
Algunos analistas señalan que, aunque esta información fuera efectivamente accesible desde el directorio de la red social, que ahora esté organizada en una lista con nombres y números de identificación convierte en más sencillo para extraños recopilar direcciones de correo electrónico o datos sobre la ubicación geográfica de los usuarios de Facebook, entre otras informaciones.
El experto de la ONG Privacy International Simon Davies ha explicado a la BBC que Facebook había recibido amplias advertencias de que esto pasaría: "Facebook debería haberse anticipado a este ataque y tomado medidas para prevenirlo. Davis asegura que ella lista pudo hacerse gracias a "la confusión en torno a las configuraciones de privacidad".
Hace pocos meses se desató una polémica relacionada con la complejidad de las configuraciones de privacidad de Facebook. La empresa respondió al malestar de los usuarios con una contestada simplificación de los controles.
Los usuarios de Facebook que quieren evitar que la información de su perfil sea accesible, tienen que entrar en las opciones de privacidad de la red social y cambiar su perfil de "Abierto" a "Solamente amigos". Modificando los parámetros de privacidad también se puede evitar que los datos sean accesibles desde Google u otros buscadores.
Fuente: El Pais
Fecha: 29/07/2010
viernes, 23 de julio de 2010
Y eso de la LOPD, ¿qué era?
Una de tus posibles respuestas a esta última pregunta, quizá de manera ingenua, ha sido «no creo dado que esa Ley sólo afecta a las grandes empresas que manejan grandes bases de datos».
Esta respuesta no puede ser más equivocada. La LOPD (Ley 15/1999) afecta tanto a grandes empresas, como a pymes, como a las Administraciones Públicas, como a cualquier persona que trate datos de carácter personal por motivos profesionales y las sanciones que establece por su incumplimiento son exactamente las mismas (y muy elevadas, por cierto).
Es decir, la misma multa le puede caer a una multinacional como al dentista de la esquina si no cumple de manera escrupulosa con todas y cada una de sus obligaciones.
Actualmente la LOPD ha sido desarrollada por el Real Decreto 1720/2007 (el reglamento de la LOPD). Es muy importante tener en cuenta que la normativa afecta tanto a los ficheros automatizados (aplicaciones y bases de datos informáticas), como a los ficheros manuales o no automatizados; es decir, los ficheros en soporte papel (por ejemplo, un archivo compuesto de fichas ordenadas alfabéticamente).
Pero ¿qué es un dato de carácter personal? Es cualquier información concerniente a una persona física (no se aplica a los datos de personas jurídicas). Así por ejemplo, son datos personales el nombre y apellidos, el domicilio, el teléfono, la profesión, los datos bancarios, los ingresos, los datos familiares, los datos de salud y un largo etcétera.
Estos datos de carácter personal quedan organizados en ficheros cuyo responsable (el Responsable del Fichero) deberá tratar cumpliendo una serie de obligaciones. Éstas son de dos tipos: legales y técnico-organizativas (relacionadas con las medidas de seguridad).
Entre las obligaciones de carácter legal estarían fundamentalmente atender los derechos de información y consentimiento de los afectados (especial atención hay que tener con los datos específicamente protegidos, a saber: salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual), cumplir con las obligaciones relativas a las cesiones de datos, los tratamientos de datos por cuenta de terceros y las transferencias internacionales de datos, atender los derechos de acceso, rectificación, cancelación y oposición de los interesados e inscribir los ficheros con datos personales en el Registro creado a tal efecto en la Agencia Española de Protección de Datos.
Y por otro lado, estarían las obligaciones relacionadas con las medidas de seguridad. Éstas se regulan en el Reglamento antes citado y dependen del nivel de seguridad del fichero (básico, medio o alto), nivel que se asigna en función del tipo de datos manejados. A mayor nivel de seguridad, mayores medidas de protección deberemos establecer.
Ejemplos de medidas de seguridad serían disponer de un Documento de Seguridad, realizar copias de respaldo, establecer contraseñas que se deben cambiar periódicamente, nombrar un Responsable de Seguridad o realizar una auditoría como mínimo cada dos años sobre el cumplimiento de las propias medidas de seguridad.
No hay que olvidar que los ficheros en soporte papel también deberán cumplir una serie de medidas de seguridad como disponer de adecuados dispositivos de almacenamiento (por ejemplo, armarios con llave), establecer unos criterios de archivo, custodiar los documentos adecuadamente, que sólo acceda el personal autorizado, etc.
Por Ignacio Bruna López-Polín, Senior IT Advisory deKPMG
Fuente: PC Actual
Fecha: 23/07/2010
Esta respuesta no puede ser más equivocada. La LOPD (Ley 15/1999) afecta tanto a grandes empresas, como a pymes, como a las Administraciones Públicas, como a cualquier persona que trate datos de carácter personal por motivos profesionales y las sanciones que establece por su incumplimiento son exactamente las mismas (y muy elevadas, por cierto).
Es decir, la misma multa le puede caer a una multinacional como al dentista de la esquina si no cumple de manera escrupulosa con todas y cada una de sus obligaciones.
Actualmente la LOPD ha sido desarrollada por el Real Decreto 1720/2007 (el reglamento de la LOPD). Es muy importante tener en cuenta que la normativa afecta tanto a los ficheros automatizados (aplicaciones y bases de datos informáticas), como a los ficheros manuales o no automatizados; es decir, los ficheros en soporte papel (por ejemplo, un archivo compuesto de fichas ordenadas alfabéticamente).
Pero ¿qué es un dato de carácter personal? Es cualquier información concerniente a una persona física (no se aplica a los datos de personas jurídicas). Así por ejemplo, son datos personales el nombre y apellidos, el domicilio, el teléfono, la profesión, los datos bancarios, los ingresos, los datos familiares, los datos de salud y un largo etcétera.
Estos datos de carácter personal quedan organizados en ficheros cuyo responsable (el Responsable del Fichero) deberá tratar cumpliendo una serie de obligaciones. Éstas son de dos tipos: legales y técnico-organizativas (relacionadas con las medidas de seguridad).
Entre las obligaciones de carácter legal estarían fundamentalmente atender los derechos de información y consentimiento de los afectados (especial atención hay que tener con los datos específicamente protegidos, a saber: salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual), cumplir con las obligaciones relativas a las cesiones de datos, los tratamientos de datos por cuenta de terceros y las transferencias internacionales de datos, atender los derechos de acceso, rectificación, cancelación y oposición de los interesados e inscribir los ficheros con datos personales en el Registro creado a tal efecto en la Agencia Española de Protección de Datos.
Y por otro lado, estarían las obligaciones relacionadas con las medidas de seguridad. Éstas se regulan en el Reglamento antes citado y dependen del nivel de seguridad del fichero (básico, medio o alto), nivel que se asigna en función del tipo de datos manejados. A mayor nivel de seguridad, mayores medidas de protección deberemos establecer.
Ejemplos de medidas de seguridad serían disponer de un Documento de Seguridad, realizar copias de respaldo, establecer contraseñas que se deben cambiar periódicamente, nombrar un Responsable de Seguridad o realizar una auditoría como mínimo cada dos años sobre el cumplimiento de las propias medidas de seguridad.
No hay que olvidar que los ficheros en soporte papel también deberán cumplir una serie de medidas de seguridad como disponer de adecuados dispositivos de almacenamiento (por ejemplo, armarios con llave), establecer unos criterios de archivo, custodiar los documentos adecuadamente, que sólo acceda el personal autorizado, etc.
Por Ignacio Bruna López-Polín, Senior IT Advisory deKPMG
Fuente: PC Actual
Fecha: 23/07/2010
jueves, 22 de julio de 2010
Sanción de 4000 € a un supermercado por sistema de videovigilancia
El 18 de marzo de 2009 llega a la Agencia Española de Protección de Datos una denuncia que declara que en la calle Motrico de San Fernando de Henares se encuentra instalada una cámara de videovigilancia que recoge imágenes de los viandantes lo que es contrario al derecho a la intimidad de las personas.
se solicita información a la entidad denunciada:
- Responsable del sistema de video vigilancia es D.A.A.A.
- La cámara colocada en la fachada no graba ni capta imágenes es una “cámara de seguridad simulada”, tal y como aparece en la factura de compra.
- Las otras cámaras situadas en el interior del local ofrecen imágenes a tiempo real en un monitor colocado junto a la puerta del establecimiento
- Las cámaras interiores garban 24 horas del día en un disco duro localizado en el almacén del local, y se van borrando según se va agotando la capacidad del disco duro, el tiempo de permanencia en el disco duro de las imágenes es aproximadamente de dos semanas.
- Las imágenes no son observadas por nadie a menos que tengan que comprobar a algún hurto, atraco o incidente, en ese caso es la encargada la única persona que accede a las imágenes y obtiene copia de las mismas para presentar a las autoridades pertinentes
- Dispone de carteles informativos en las puertas de entrada , en escaparates y pasillos interiores en los que se informa “ zona video vigilada, grabación 24 horas” sin embargo no figura ni la identidad del responsable del fichero ni procedimiento para ejercer los derechos ARCO
- Tampoco consta en el registro la existencia de ningún fichero inscrito.
POR NO EXISTIR FICHERO INSCRITO Y POR NO INFORMAR DE LA IDENTIDAD DEL RESPONSABLE DEL FICHERO Y LUGAR DONDE EJERCITAR DERECHOS ARCO: La empresa es sancionada con 4000 €, también se dice en la resolución, que el monitor en que se ven las imágenes, debe de ser cambiado de sitio para que no sean visualizas por cualquiera, ya que solo pueden ser accesibles a personal cualificado.
Fuente: AGPD
Fecha: 22/07/2010
se solicita información a la entidad denunciada:
- Responsable del sistema de video vigilancia es D.A.A.A.
- La cámara colocada en la fachada no graba ni capta imágenes es una “cámara de seguridad simulada”, tal y como aparece en la factura de compra.
- Las otras cámaras situadas en el interior del local ofrecen imágenes a tiempo real en un monitor colocado junto a la puerta del establecimiento
- Las cámaras interiores garban 24 horas del día en un disco duro localizado en el almacén del local, y se van borrando según se va agotando la capacidad del disco duro, el tiempo de permanencia en el disco duro de las imágenes es aproximadamente de dos semanas.
- Las imágenes no son observadas por nadie a menos que tengan que comprobar a algún hurto, atraco o incidente, en ese caso es la encargada la única persona que accede a las imágenes y obtiene copia de las mismas para presentar a las autoridades pertinentes
- Dispone de carteles informativos en las puertas de entrada , en escaparates y pasillos interiores en los que se informa “ zona video vigilada, grabación 24 horas” sin embargo no figura ni la identidad del responsable del fichero ni procedimiento para ejercer los derechos ARCO
- Tampoco consta en el registro la existencia de ningún fichero inscrito.
POR NO EXISTIR FICHERO INSCRITO Y POR NO INFORMAR DE LA IDENTIDAD DEL RESPONSABLE DEL FICHERO Y LUGAR DONDE EJERCITAR DERECHOS ARCO: La empresa es sancionada con 4000 €, también se dice en la resolución, que el monitor en que se ven las imágenes, debe de ser cambiado de sitio para que no sean visualizas por cualquiera, ya que solo pueden ser accesibles a personal cualificado.
Fuente: AGPD
Fecha: 22/07/2010
Más de 300.000 euros por tirar en la calle historiales del Sagrado Corazón
El Tribunal Supremo ha confirmado la multa de 300.506,05 euros que la Agencia de Protección de Datos impuso a la sociedad tocoginecológica del Doctor Chacón por arrojar a un contenedor de basuras historiales de la clínica Sagrado Corazón. El fallo del Alto Tribunal confirma a su vez la resolución que en enero de 2007 dictó la Audiencia Nacional y que consideró adecuada la sanción impuesta a esta empresa, que ya no trabaja con la mencionada clínica. Con esta multa se castigó haber arrojado en septiembre de 2003 a un contenedor de basuras de Sevilla-Este -ubicado cerca de un centro de la multinacional americana USP pero a varios kilómetros de la clínica- un total de 158 documentos de los historiales clínicos.
Los documentos arrojados a la basura eran unas copias de las historias de urgencia que quedaban en poder del facultativo y, posteriormente, bajo la custodia de la sociedad tocoginecológica. Las historias estaban fechadas entre julio y septiembre de 2003, y las pacientes habían sido asistidas en consulta tocoginecológica, por lo que su contenido hacía referencia "al motivo de la consulta, antecedentes, alergias, medicación, resultado de la exploración física, juicio clínico y tratamiento", relata la sentencia.
La Agencia de Protección de Datos consideró que los hechos denunciados constituían una falta muy grave, "pues si un documento interno que contiene datos de pacientes ha salido fuera del ámbito de la entidad responsable de mantener el secreto, se incumple una medida de seguridad exigida a dicho responsable y, a su vez, se vulnera el deber de secreto" de esa documentación.
La aparición de 158 ejemplares de historias clínicas en un contenedor en la vía pública, hechos que fueron reconocidos por la sociedad sancionada, "revela una infracción del deber de secreto" y la sanción se impuso por la "negligencia apreciada en la misma".
La sociedad tocoginecológica del Doctor Chacón alegó que la documentación fue arrojada al contenedor por un tercero, pero el Tribunal Supremo recuerda que esta persona era un "administrativo" de esta misma empresa, "lo que excluye esa calificación de tercero y comporta la atribución de responsabilidad para la actora, sin que pueda, lógicamente y con seriedad, argumentar su falta de conocimiento de los hechos imputados con vulneración del principio de responsabilidad".
Fuente: Diario de Sevilla
Fecha: 21/07/2010
Los documentos arrojados a la basura eran unas copias de las historias de urgencia que quedaban en poder del facultativo y, posteriormente, bajo la custodia de la sociedad tocoginecológica. Las historias estaban fechadas entre julio y septiembre de 2003, y las pacientes habían sido asistidas en consulta tocoginecológica, por lo que su contenido hacía referencia "al motivo de la consulta, antecedentes, alergias, medicación, resultado de la exploración física, juicio clínico y tratamiento", relata la sentencia.
La Agencia de Protección de Datos consideró que los hechos denunciados constituían una falta muy grave, "pues si un documento interno que contiene datos de pacientes ha salido fuera del ámbito de la entidad responsable de mantener el secreto, se incumple una medida de seguridad exigida a dicho responsable y, a su vez, se vulnera el deber de secreto" de esa documentación.
La aparición de 158 ejemplares de historias clínicas en un contenedor en la vía pública, hechos que fueron reconocidos por la sociedad sancionada, "revela una infracción del deber de secreto" y la sanción se impuso por la "negligencia apreciada en la misma".
La sociedad tocoginecológica del Doctor Chacón alegó que la documentación fue arrojada al contenedor por un tercero, pero el Tribunal Supremo recuerda que esta persona era un "administrativo" de esta misma empresa, "lo que excluye esa calificación de tercero y comporta la atribución de responsabilidad para la actora, sin que pueda, lógicamente y con seriedad, argumentar su falta de conocimiento de los hechos imputados con vulneración del principio de responsabilidad".
Fuente: Diario de Sevilla
Fecha: 21/07/2010
Las diputaciones desconfían de Lakua de cara a la reunión de hoy
Las diputaciones forales desconfían de la pretensión del Gobierno Vasco de tener acceso directo a los datos de los contribuyentes dentro de un programa interinstitucional de lucha contra el fraude fiscal. Las Haciendas forales tienen plena autonomía en ese ámbito y son las únicas autoridades competentes para inspeccionar los datos fiscales de empresas y personas de su territorio. Las normativas forales impiden la cesión de esa información a terceros, ni siquiera comunicarlos parcialmente.
Además, la Ley de Protección de Datos restringe aún más las comunicaciones de los ficheros con datos personales. De hecho, la Agencia Vasca de Protección de Datos realiza un férreo marcaje a las diputaciones para que sólo un reducido número de funcionarios tenga acceso a los datos de los contribuyentes.
Sin embargo, la portavoz del Gobierno Vasco, Idoia Mendia, confirmó ayer que el Ejecutivo pretende activar un protocolo informático cruzado que le permita acceder a los datos fiscales de las tres diputaciones. Es una idea a estudiar y negociar, vino a decir Mendia para amortiguar el malestar que generó en las diputaciones la filtración a la prensa del planteamiento, que todavía no ha sido propuesto oficialmente a las administraciones con competencia en la materia.
Es posible que la cuestión ocupe hoy parte de la reunión prevista del Órgano de Coordinación Tributaria (OCT) un foro técnico al que se le está trasladando los últimos meses demasiada presión política.
sin base legal Al parecer, Lakua se agarra a la letra del Artículo 13 de la Ley de Armonización, Coordinación y Colaboración fiscal de 1989 obviando su espíritu. Aquella norma pretendía dar sustento legal a los planes de inspecciones conjuntas que realizaban las diputaciones.
Un año después se modificó la Ley del Concierto y se aprobó el denominado régimen de acta única y cada Diputación es responsable exclusiva de todo lo concerniente al ámbito tributario en su territorio. Ya no hay planes conjuntos de inspección. Aunque el artículo en cuestión no fue derogado, quedó anulado a efectos prácticos a partir de ese momento.
Posteriormente, en las últimas normas generales aprobadas por las instituciones forales se estrechó más el margen de transmisión de datos fiscales entre administraciones. Se acotó su utilización a actividades tributarias -ámbito competencial exclusivo de las diputaciones- y se ciñó su "cesión y comunicación a terceros" a actuaciones muy concretas, entre ellas las investigaciones judiciales o policiales.
Con estos precedentes, fuentes de la Diputación de Gipuzkoa y Bizkaia mostraron ayer su disposición a colaborar con el Ejecutivo vasco dentro de los cauces de la legalidad en la lucha contra el fraude, pero cuestionaron las verdaderas intenciones del Gabinete López.
Fuente: Noticias de Gipuzkoa
Fecha: 22/07/2010
Además, la Ley de Protección de Datos restringe aún más las comunicaciones de los ficheros con datos personales. De hecho, la Agencia Vasca de Protección de Datos realiza un férreo marcaje a las diputaciones para que sólo un reducido número de funcionarios tenga acceso a los datos de los contribuyentes.
Sin embargo, la portavoz del Gobierno Vasco, Idoia Mendia, confirmó ayer que el Ejecutivo pretende activar un protocolo informático cruzado que le permita acceder a los datos fiscales de las tres diputaciones. Es una idea a estudiar y negociar, vino a decir Mendia para amortiguar el malestar que generó en las diputaciones la filtración a la prensa del planteamiento, que todavía no ha sido propuesto oficialmente a las administraciones con competencia en la materia.
Es posible que la cuestión ocupe hoy parte de la reunión prevista del Órgano de Coordinación Tributaria (OCT) un foro técnico al que se le está trasladando los últimos meses demasiada presión política.
sin base legal Al parecer, Lakua se agarra a la letra del Artículo 13 de la Ley de Armonización, Coordinación y Colaboración fiscal de 1989 obviando su espíritu. Aquella norma pretendía dar sustento legal a los planes de inspecciones conjuntas que realizaban las diputaciones.
Un año después se modificó la Ley del Concierto y se aprobó el denominado régimen de acta única y cada Diputación es responsable exclusiva de todo lo concerniente al ámbito tributario en su territorio. Ya no hay planes conjuntos de inspección. Aunque el artículo en cuestión no fue derogado, quedó anulado a efectos prácticos a partir de ese momento.
Posteriormente, en las últimas normas generales aprobadas por las instituciones forales se estrechó más el margen de transmisión de datos fiscales entre administraciones. Se acotó su utilización a actividades tributarias -ámbito competencial exclusivo de las diputaciones- y se ciñó su "cesión y comunicación a terceros" a actuaciones muy concretas, entre ellas las investigaciones judiciales o policiales.
Con estos precedentes, fuentes de la Diputación de Gipuzkoa y Bizkaia mostraron ayer su disposición a colaborar con el Ejecutivo vasco dentro de los cauces de la legalidad en la lucha contra el fraude, pero cuestionaron las verdaderas intenciones del Gabinete López.
Fuente: Noticias de Gipuzkoa
Fecha: 22/07/2010
Las cámaras de vigilancia con zoom incumplen la ley
La grabación de imágenes con cámaras de vigilancia capaces de grabar la vía pública y a las personas que circulan por ella, constituye tratamiento de datos personales y, por tanto, debe contar con el consentimiento de los interesados, de los ciudadanos captados, según confirma la Audiencia Nacional, en una sentencia de 17 de junio de 2010.
La ponente, la magistrada Sanz Calvo, ratifica que "lo adecuado y no excesivo hubiera sido, según la Agencia Española de Protección de Datos (AEPD), que las cámaras sólo tomaran imágenes de las entradas a dicho edificio y fachada y en su caso un espacio mínimo de la vía pública" y no "a la vía pública en su sentido más amplio".
Incluso, considera que aún cuando el sistema de videovigilancia haya sido instalado conforme a la normativa de Seguridad Privada no le autoriza a realizar grabaciones de imágenes en la vía pública, pues la grabación de imágenes en lugares públicos es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado, salvo que se hubiese acreditado que tuviera autorización administrativa al respecto.
Protección de datos
La sentencia aclara también, que las imágenes que se graban unas a continuación de otras, a medida que se van obteniendo, sin ningún orden establecido y se van eliminando automáticamente por el propio sistema, al cabo de 7 días, se consideran incluidas en un fichero organizado o estructurado y, por tanto está inmerso en las obligaciones impuestas por la Ley Orgánica de Protección de Datos (LOPD).
Considera la ponente, que no pueden tener la consideración de carpetas no estructuradas, dado que el sistema de vigilancia es automatizado y almacena imágenes identificables durante el periodo establecido, permitiendo búsquedas de imágenes por criterios de lugar, día y hora, por lo que constituyen un fichero a los efectos de lo dispuesto en la LOPD.
Así, indica que no cabe apreciar ausencia de culpabilidad por cuanto la infracción apreciada puede cometerse tanto de forma dolosa como culposa y en este caso denota falta de diligencia de la recurrente, a la que le es imputable la citada infracción como culpa o negligencia.
Sobre la prescripción de este tipo de infracciones, la Audiencia informa de que lo hacen al cumplirse un año desde el día en que la infracción se hubiera cometido y se interrumpe desde el inicio del procedimiento sancionador con conocimiento del interesado, según regula el artículo 47.1 de la LOPD.
Fuente: El Economista
Fecha: 22/07/2010
La ponente, la magistrada Sanz Calvo, ratifica que "lo adecuado y no excesivo hubiera sido, según la Agencia Española de Protección de Datos (AEPD), que las cámaras sólo tomaran imágenes de las entradas a dicho edificio y fachada y en su caso un espacio mínimo de la vía pública" y no "a la vía pública en su sentido más amplio".
Incluso, considera que aún cuando el sistema de videovigilancia haya sido instalado conforme a la normativa de Seguridad Privada no le autoriza a realizar grabaciones de imágenes en la vía pública, pues la grabación de imágenes en lugares públicos es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado, salvo que se hubiese acreditado que tuviera autorización administrativa al respecto.
Protección de datos
La sentencia aclara también, que las imágenes que se graban unas a continuación de otras, a medida que se van obteniendo, sin ningún orden establecido y se van eliminando automáticamente por el propio sistema, al cabo de 7 días, se consideran incluidas en un fichero organizado o estructurado y, por tanto está inmerso en las obligaciones impuestas por la Ley Orgánica de Protección de Datos (LOPD).
Considera la ponente, que no pueden tener la consideración de carpetas no estructuradas, dado que el sistema de vigilancia es automatizado y almacena imágenes identificables durante el periodo establecido, permitiendo búsquedas de imágenes por criterios de lugar, día y hora, por lo que constituyen un fichero a los efectos de lo dispuesto en la LOPD.
Así, indica que no cabe apreciar ausencia de culpabilidad por cuanto la infracción apreciada puede cometerse tanto de forma dolosa como culposa y en este caso denota falta de diligencia de la recurrente, a la que le es imputable la citada infracción como culpa o negligencia.
Sobre la prescripción de este tipo de infracciones, la Audiencia informa de que lo hacen al cumplirse un año desde el día en que la infracción se hubiera cometido y se interrumpe desde el inicio del procedimiento sancionador con conocimiento del interesado, según regula el artículo 47.1 de la LOPD.
Fuente: El Economista
Fecha: 22/07/2010
miércoles, 14 de julio de 2010
La justicia declara ilegal la obligación de domiciliar el pago del IBI en León
La sentencia señala la ilegalidad en relación con la Ley de Protección de Datos al obligar a los ciudadanos a facilitar datos personales como la cuenta bancaria
La sentencia dictada por el Juzgado Contencioso Administrativo de León lo deja claro: «La obligación de domiciliar el IBI para poder fraccionar el pago, impuesta por el Ayuntamiento de León desde el 2008 es absolutamente ilegal». En un primer momento, la Cámara de la Propiedad Urbana, promotor de esta denuncia, presentó la situación ante el Procurador Común, «tras las quejas de numerosos ciudadanos», según declaró el gerente del organismo, Miguel Ángel Sánchez. Sin embargo, el Ayuntamiento desoyó la resolución del Procurador que determinaba la ilegalidad de obligar a los ciudadanos leoneses a domiciliar el pago fraccionado del IBI. Según el gerente de la Cámara de Propiedad Urbana: Es «vergonzoso» que el Ayuntamiento no hicierqa caso y se saltara el prinicipio de legalidad «a la torera»; «eso sólo provoca desconfianza entre los ciudadanos». Por ello, el siguiente paso del organismo fue remitir la denuncia al Juzgado, que finalmente le ha dado la razón. «Ahora, el Ayuntamiento deberá coincidir con la sentencia porque no es apelable», resaltó Sánchez. En concreto, las medidas que deberá tomar el Consistorio serán anular los recargos que corresponden al ejercicio de los tres últimos años y devolver los recargos de apremio e intereses que los ciudadanos hayan podido perder.
Asimismo, la sentencia advierte que también se está incumpliendo la Ley de Protección de Datos al obligar al ciudadano a facilitar datos personales que la Ley no exige, como la cuenta bancaria. De hecho, el ordenamiento jurídico español sólo contempla la domiciliación como una forma de pago voluntaria y en beneficio del ciudadano. Así, según los demandantes, «la medida del Ayuntamiento está pensada para su propio beneficio; el ciudadano no está obligado a disponer de una cuenta bancaria, en ningún caso». Ahora, la sentencia es firme y el Ayuntamiento de León la deberá ejecutar inmediatamente, eliminando el requisito de domiciliación bancaria, ya que de lo contrario podría considerarse delito de prevaricación y requeriría la intervención del fiscal o del juzgado de lo penal. «Esto anula los recargos que se han cobrado estos años», puntualizó la Cámara de Propiedad Urbana.
Fuente: Diario de León
Fecha: 14/07/2010
La sentencia dictada por el Juzgado Contencioso Administrativo de León lo deja claro: «La obligación de domiciliar el IBI para poder fraccionar el pago, impuesta por el Ayuntamiento de León desde el 2008 es absolutamente ilegal». En un primer momento, la Cámara de la Propiedad Urbana, promotor de esta denuncia, presentó la situación ante el Procurador Común, «tras las quejas de numerosos ciudadanos», según declaró el gerente del organismo, Miguel Ángel Sánchez. Sin embargo, el Ayuntamiento desoyó la resolución del Procurador que determinaba la ilegalidad de obligar a los ciudadanos leoneses a domiciliar el pago fraccionado del IBI. Según el gerente de la Cámara de Propiedad Urbana: Es «vergonzoso» que el Ayuntamiento no hicierqa caso y se saltara el prinicipio de legalidad «a la torera»; «eso sólo provoca desconfianza entre los ciudadanos». Por ello, el siguiente paso del organismo fue remitir la denuncia al Juzgado, que finalmente le ha dado la razón. «Ahora, el Ayuntamiento deberá coincidir con la sentencia porque no es apelable», resaltó Sánchez. En concreto, las medidas que deberá tomar el Consistorio serán anular los recargos que corresponden al ejercicio de los tres últimos años y devolver los recargos de apremio e intereses que los ciudadanos hayan podido perder.
Asimismo, la sentencia advierte que también se está incumpliendo la Ley de Protección de Datos al obligar al ciudadano a facilitar datos personales que la Ley no exige, como la cuenta bancaria. De hecho, el ordenamiento jurídico español sólo contempla la domiciliación como una forma de pago voluntaria y en beneficio del ciudadano. Así, según los demandantes, «la medida del Ayuntamiento está pensada para su propio beneficio; el ciudadano no está obligado a disponer de una cuenta bancaria, en ningún caso». Ahora, la sentencia es firme y el Ayuntamiento de León la deberá ejecutar inmediatamente, eliminando el requisito de domiciliación bancaria, ya que de lo contrario podría considerarse delito de prevaricación y requeriría la intervención del fiscal o del juzgado de lo penal. «Esto anula los recargos que se han cobrado estos años», puntualizó la Cámara de Propiedad Urbana.
Fuente: Diario de León
Fecha: 14/07/2010
España: hasta 3.000 euros por no poner los mails en copia oculta
Es un olvido habitual, pero que ahora puede costar caro. La Agencia Española de Protección de Datos está sancionando duramente a las empresas por "revelar datos de sus clientes" cuando dejan ver sus direcciones de correo en mails colectivos.
Un despiste tan clásico y aparentemente inocente como olvidarse de poner en copia oculta las direcciones de correo electrónico puede acabar resultando mucho más costoso de lo esperado. Numerosas empresas españolas ya han tenido que enfrentarse a una multa de entre 600 y 3.000 euros (aunque legalmente podría llegar a los 60.000 euros) por revelar datos privados de sus clientes o de personas que les habían facilitado su e-mail con fines informativos.
A la inmobiliaria Sánchez Romero, por ejemplo, felicitar la Navidad por e-mail a todos sus contactos le costó 3.000 euros, según la resolución dictada en febrero pasado por la Agencia Española de Protección de Datos (AEPD). El correo se envió a casi 4.000 personas y todas sus direcciones eran visibles para el resto de destinatarios. Uno de ellos denunció el caso a la AEPD y ésta la dio la razón porque se había vulnerado el "deber de secreto" contemplado en el artículo 10 de la Ley Orgánica de Protección de Datos.
Desde la AEPD recuerdan que en su memoria del año 2007 ya recomendaban "la utilización de garantías de confidencialidad de los destinatarios en el envío de correos electrónicos" por la protección legal que existe sobre los datos personales y porque no hacerlo favorece el spam.
Introduciendo los correos electrónicos en el campo de copia oculta (CCO en español y BCC si se utiliza un programa en inglés) se evita que los destinatarios sepan a quien se ha enviado el mensaje, mientras que las direcciones incluidas en los campos para y CC son visibles para todas las personas que reciban el e-mail.
Pese a considerarse en la mayoría de los casos infracciones leves, las sanciones por revelar estos datos podrían llegar a los 60.000 euros pero, según aseguran en la AEPD, lo más habitual en estos casos es aplicar la multa mínima de 600 euros obligada por la ley.
Esta es precisamente la multa que la AEPD impuso a la empresa de recursos humanos Human Management por hacer visibles los correos electrónicos de un grupo de candidatos que habían sido descartados para una oferta laboral.
La agencia determinó que se había infringido la ley aunque el e-mail sólo se hubiera enviado a 10 personas y a que la empresa explicara que había sido culpa de un "error humano e involuntario", que su código interno especificaba que este tipo de correos debían mandarse en copia oculta y que tras ese episodio se habían introducido cambios en el sistema que impedían su repetición.
La AEPD asegura que hasta el momento no se ha sancionado a personas particulares por olvidarse de poner en copia oculta el e-mail de los destinatarios, sino que en todos los casos se trataba de correspondencias de empresa.
Fuente: Clarin
Fecha: 12/07/2010
Un despiste tan clásico y aparentemente inocente como olvidarse de poner en copia oculta las direcciones de correo electrónico puede acabar resultando mucho más costoso de lo esperado. Numerosas empresas españolas ya han tenido que enfrentarse a una multa de entre 600 y 3.000 euros (aunque legalmente podría llegar a los 60.000 euros) por revelar datos privados de sus clientes o de personas que les habían facilitado su e-mail con fines informativos.
A la inmobiliaria Sánchez Romero, por ejemplo, felicitar la Navidad por e-mail a todos sus contactos le costó 3.000 euros, según la resolución dictada en febrero pasado por la Agencia Española de Protección de Datos (AEPD). El correo se envió a casi 4.000 personas y todas sus direcciones eran visibles para el resto de destinatarios. Uno de ellos denunció el caso a la AEPD y ésta la dio la razón porque se había vulnerado el "deber de secreto" contemplado en el artículo 10 de la Ley Orgánica de Protección de Datos.
Desde la AEPD recuerdan que en su memoria del año 2007 ya recomendaban "la utilización de garantías de confidencialidad de los destinatarios en el envío de correos electrónicos" por la protección legal que existe sobre los datos personales y porque no hacerlo favorece el spam.
Introduciendo los correos electrónicos en el campo de copia oculta (CCO en español y BCC si se utiliza un programa en inglés) se evita que los destinatarios sepan a quien se ha enviado el mensaje, mientras que las direcciones incluidas en los campos para y CC son visibles para todas las personas que reciban el e-mail.
Pese a considerarse en la mayoría de los casos infracciones leves, las sanciones por revelar estos datos podrían llegar a los 60.000 euros pero, según aseguran en la AEPD, lo más habitual en estos casos es aplicar la multa mínima de 600 euros obligada por la ley.
Esta es precisamente la multa que la AEPD impuso a la empresa de recursos humanos Human Management por hacer visibles los correos electrónicos de un grupo de candidatos que habían sido descartados para una oferta laboral.
La agencia determinó que se había infringido la ley aunque el e-mail sólo se hubiera enviado a 10 personas y a que la empresa explicara que había sido culpa de un "error humano e involuntario", que su código interno especificaba que este tipo de correos debían mandarse en copia oculta y que tras ese episodio se habían introducido cambios en el sistema que impedían su repetición.
La AEPD asegura que hasta el momento no se ha sancionado a personas particulares por olvidarse de poner en copia oculta el e-mail de los destinatarios, sino que en todos los casos se trataba de correspondencias de empresa.
Fuente: Clarin
Fecha: 12/07/2010
Peligro para la privacidad de los clientes de una web dedicada a jóvenes homosexuales
a red social XY.com, dedicada a jóvenes homosexuales de entre 13 y 17 años podría poner en peligro la privacidad de los datos de sus usuarios tras haberse declarado en bancarrota.
El pasado mes de febrero, el fundador de la web, Peter Ian Cummings, que asegura vivir de "préstamos para estudiantes y pequeños préstamos de amigos y familiares", según informa el diario El Mundo, se declaró en bancarrota.
Como único activo de valor declaró la lista de clientes de la web, que contiene sus datos personales. Sin embargo, reconoció que su comercialización supondría vulnerar los derechos de privacidad de estos usuarios.
Destrucción de los datos
Según la Comisión Federal de Comercio de Estados Unidos (FTC), "cualquier venta, transferencia o uso" de esta información "alza cuestiones sobre privacidad", e incluso podría llegar a violar leyes federales, por lo que remitió una carta mostrando su preocupación a los abogados y acreedores de la página.
El director de la sección de protección del consumidor de la FTC, David Vladeck, recomendó la destrucción de los datos de carácter personal, teniendo en cuenta que la propia política de XY.com garantizaba la confidencialidad frente a terceros.
Por su parte, los acreedores han asegurado que, en caso de no obtener los datos personales de los clientes, denunciarán por fraude a Cummings.
Fuente: Ecodiario
Fecha: 13/07/2010
El pasado mes de febrero, el fundador de la web, Peter Ian Cummings, que asegura vivir de "préstamos para estudiantes y pequeños préstamos de amigos y familiares", según informa el diario El Mundo, se declaró en bancarrota.
Como único activo de valor declaró la lista de clientes de la web, que contiene sus datos personales. Sin embargo, reconoció que su comercialización supondría vulnerar los derechos de privacidad de estos usuarios.
Destrucción de los datos
Según la Comisión Federal de Comercio de Estados Unidos (FTC), "cualquier venta, transferencia o uso" de esta información "alza cuestiones sobre privacidad", e incluso podría llegar a violar leyes federales, por lo que remitió una carta mostrando su preocupación a los abogados y acreedores de la página.
El director de la sección de protección del consumidor de la FTC, David Vladeck, recomendó la destrucción de los datos de carácter personal, teniendo en cuenta que la propia política de XY.com garantizaba la confidencialidad frente a terceros.
Por su parte, los acreedores han asegurado que, en caso de no obtener los datos personales de los clientes, denunciarán por fraude a Cummings.
Fuente: Ecodiario
Fecha: 13/07/2010
martes, 6 de julio de 2010
Acuerdan instrucción para eliminar de edictos datos personales no necesarios
El Tribunal Superior de Justicia del País Vasco (TSJPV) y la Agencia Vasca de Protección de Datos han consensuado hoy una instrucción con el objetivo de que los datos personales que se incluyan en los edictos que se publican en los boletines oficiales sean sólo los "estrictamente necesarios".
Según ha informado el alto tribunal vasco en una nota de prensa, esta mañana se han reunido en la sede en Bilbao del TSJPV el presidente de este órgano, Juan Luis Ibarra, y dos miembros de la secretaría de Gobierno -Begoña Basarrate y Fernando Larrea-, con el director de la Agencia Vasca de Protección de Datos, Iñaki Vicuña, y las letradas Ana Perribai y Juana María Vargas.
Durante la reunión se ha consensuado una instrucción con objeto de unificar y establecer el procedimiento adecuado para la publicación, por edictos, de las resoluciones judiciales en los boletines oficiales y el tratamiento de los datos personales contenidos en estas.
Con esta instrucción se pretende conjugar la exigencia procesal de la publicación edictal de las resoluciones judiciales en los casos previstos en la Ley Orgánica de Protección de Datos (LOPD) con el máximo respeto a la intimidad de los intervinientes, especialmente en el caso de los menores.
En este sentido, se ha recordado desde el TSJPV que el principio de calidad de los datos regulado en el artículo 4 LOPD exige que la publicación debe limitarse a aquellos datos personales de los afectados que resulten imprescindibles para lograr la finalidad pretendida, como es la notificación de la resolución, por lo que se evitará la publicación de todos aquellos datos que no sean estrictamente necesarios a tal fin.
Además, la ley establece que los datos personales deben limitarse a las cuestiones que ineludiblemente deban ser conocidas por el interesado, haciendo constar en el edicto publicado que el texto completo de la resolución que se notifica se encuentra a su disposición en la Secretaría del Juzgado o Tribunal correspondiente.
Fuentes del TSJPV consultadas por EFE han explicado que el objetivo es que los edictos no se conviertan en una reproducción literal de todos los datos personales de una persona, ya que éstos ya los conoce el interesado, por lo que sólo deben aparecer, tal y como ya establece la ley, los que sean "exactamente necesarios para el fin que se persigue".
Fuente: ABC
Fecha: 05/07/2010
Según ha informado el alto tribunal vasco en una nota de prensa, esta mañana se han reunido en la sede en Bilbao del TSJPV el presidente de este órgano, Juan Luis Ibarra, y dos miembros de la secretaría de Gobierno -Begoña Basarrate y Fernando Larrea-, con el director de la Agencia Vasca de Protección de Datos, Iñaki Vicuña, y las letradas Ana Perribai y Juana María Vargas.
Durante la reunión se ha consensuado una instrucción con objeto de unificar y establecer el procedimiento adecuado para la publicación, por edictos, de las resoluciones judiciales en los boletines oficiales y el tratamiento de los datos personales contenidos en estas.
Con esta instrucción se pretende conjugar la exigencia procesal de la publicación edictal de las resoluciones judiciales en los casos previstos en la Ley Orgánica de Protección de Datos (LOPD) con el máximo respeto a la intimidad de los intervinientes, especialmente en el caso de los menores.
En este sentido, se ha recordado desde el TSJPV que el principio de calidad de los datos regulado en el artículo 4 LOPD exige que la publicación debe limitarse a aquellos datos personales de los afectados que resulten imprescindibles para lograr la finalidad pretendida, como es la notificación de la resolución, por lo que se evitará la publicación de todos aquellos datos que no sean estrictamente necesarios a tal fin.
Además, la ley establece que los datos personales deben limitarse a las cuestiones que ineludiblemente deban ser conocidas por el interesado, haciendo constar en el edicto publicado que el texto completo de la resolución que se notifica se encuentra a su disposición en la Secretaría del Juzgado o Tribunal correspondiente.
Fuentes del TSJPV consultadas por EFE han explicado que el objetivo es que los edictos no se conviertan en una reproducción literal de todos los datos personales de una persona, ya que éstos ya los conoce el interesado, por lo que sólo deben aparecer, tal y como ya establece la ley, los que sean "exactamente necesarios para el fin que se persigue".
Fuente: ABC
Fecha: 05/07/2010
lunes, 5 de julio de 2010
Murcia ´cuelga´ 40.000 bases de datos en la Agencia de Protección
La Agencia Española de Protección de Datos (AEPD), que dirige Artemi Zallo, tiene inscritos en su Registro General cerca de 40.000 ficheros procedentes de la Región de Murcia, la mayoría de titularidad privada, según datos recabados del mes de marzo de 2010. Entre los que más 'cuelgan' ficheros de datos personales en la Agencia de Protección se encuentran los dueños de pequeñas y medianas empresas y autónomos (comercio, turismo y hostelería); profesionales del sector sanitario (sanidad y farmacia) y del inmobiliario (comunidades de propietarios y empresas de construcción).
Y, como curiosidad, destaca el aumento de ficheros relacionados con actividades de videovigilancia, según señala la Agencia en un comunicado de prensa. Dentro de este apartado, los sectores con mayor número de inscripciones son los de turismo y hostelería, comercio y comunidades de propietarios (en las que las cifras han experimentado un aumento del 100 por ciento respecto a 2008).
Asimismo es muy significativo el aumento en el sector de la educación. En esta línea se ha detectado un aumento en el número de consultas relacionadas con la declaración de ficheros de protección de datos de colegios, institutos y centros de enseñanza.
Y es que la Ley obliga a todos los organismos y entidades públicas y privadas a dar de alta en el Registro General de Protección sus ficheros que contengan datos de carácter personal, con el objetivo de que los ciudadanos puedan conocer quién trata sus datos y ejercer los derechos de acceso, consulta, rectificación, oposición y cancelación sobre la información personal recogida en dichos ficheros.
Y cada vez son más los que acuden al Registro General para consultar sus datos. Así, en 2009 se registraron un total de 1.356.216 consultas de titularidad privada, y poco más de un millón de titularidad pública. Y no sólo en España. En 2009 también aumentaron las solicitudes de transferencias internacionales de datos.
En la actualidad, la Agencia de Protección de Datos ya ha superado el millón y medio de bases de datos inscritas en todo el país. Por comunidades, Cataluña lidera la lista en el número de inscripciones de ficheros de datos, seguida de Madrid, Andalucía, Comunidad Valencia y Galicia.
Por otra parte, destaca el hecho de que, cada vez más, se utiliza el registro telemático de la Agencia para presentar las solicitudes de inscripción de ficheros a través de Internet mediante firma electrónica.
Fuente: La Opinión de Murcia
Fecha: 04/07/2010
Y, como curiosidad, destaca el aumento de ficheros relacionados con actividades de videovigilancia, según señala la Agencia en un comunicado de prensa. Dentro de este apartado, los sectores con mayor número de inscripciones son los de turismo y hostelería, comercio y comunidades de propietarios (en las que las cifras han experimentado un aumento del 100 por ciento respecto a 2008).
Asimismo es muy significativo el aumento en el sector de la educación. En esta línea se ha detectado un aumento en el número de consultas relacionadas con la declaración de ficheros de protección de datos de colegios, institutos y centros de enseñanza.
Y es que la Ley obliga a todos los organismos y entidades públicas y privadas a dar de alta en el Registro General de Protección sus ficheros que contengan datos de carácter personal, con el objetivo de que los ciudadanos puedan conocer quién trata sus datos y ejercer los derechos de acceso, consulta, rectificación, oposición y cancelación sobre la información personal recogida en dichos ficheros.
Y cada vez son más los que acuden al Registro General para consultar sus datos. Así, en 2009 se registraron un total de 1.356.216 consultas de titularidad privada, y poco más de un millón de titularidad pública. Y no sólo en España. En 2009 también aumentaron las solicitudes de transferencias internacionales de datos.
En la actualidad, la Agencia de Protección de Datos ya ha superado el millón y medio de bases de datos inscritas en todo el país. Por comunidades, Cataluña lidera la lista en el número de inscripciones de ficheros de datos, seguida de Madrid, Andalucía, Comunidad Valencia y Galicia.
Por otra parte, destaca el hecho de que, cada vez más, se utiliza el registro telemático de la Agencia para presentar las solicitudes de inscripción de ficheros a través de Internet mediante firma electrónica.
Fuente: La Opinión de Murcia
Fecha: 04/07/2010
Umivale deja historiales médicos al alcance de directivos y administrativos
"¿Usted, como director territorial, tiene la posibilidad de entrar en los historiales médicos de los enfermos?". El pasado mes de enero declaraba, en un juicio por el despido de una médico, el responsable de la mutua Umivale en Torrent en un juzgado de lo Social de Valencia y, entre otras, le hicieron esa pregunta. El directivo respondió: "Sí". Continuó el interrogatorio. "¿Y las administrativas?". "También". "¿Usted es médico?". "No". "¿Si algún empresario le llamaba para pedirle datos de un trabajador se los daba?". "Tenemos establecido facilitar únicamente la fecha prevista de alta". "¿En cualquier caso, no ha dado ningún dato de ningún trabajador?". "No".
El asunto del acceso a los historiales médicos y el respeto a la confidencialidad de los datos surgió en el juicio porque uno de los muchos elementos de fricción de la médico despedida con la dirección de la mutua fue precisamente la supuesta reclamación del directivo de una información sobre la salud de un paciente que la facultativa se negó a facilitar. El despido fue declarado nulo y la sentencia ha sido confirmada por el Tribunal Superior de Justicia hace apenas un mes. El directivo ha sido relevado de su cargo.
En el transcurso del juicio, el abogado de la médico despedida también le preguntó a un delegado de personal, miembro del comité de empresa. "¿Comentó con el directivo algo sobre los problemas de intromisión de los administrativos en los expedientes de los enfermos?". "Sí". "¿Qué le contestó?". "Más o menos, que es lo normal". "¿Hizo alguna acción para resolver el tema?". "No...". "¿Cualquier trabajador administrativo de la empresa puede acceder a los expedientes de enfermedad?". "Sí".
La custodia de los historiales médicos está estrictamente regulada por normas legales como la Ley General de Sanidad, la Ley Orgánica de Protección de Datos o la Ley Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica. "El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que llevan a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador", establece, por ejemplo, la Ley de Prevención de Riesgos Laborales.
"Somos una entidad sanitaria clínica y el personal administrativo de soporte no puede cumplir sus funciones sin acceder a determinada información médica", señala Pascual Rubio, director médico de la mutua."El de la confidencialidad es, sin duda, un tema delicado porque trabajamos con información muy sensible. El artículo 16 de la Ley de Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica permite que el personal de gestión sanitaria acceda a los datos necesarios para cumplir sus funciones", añade el director médico.
Rubio explica que Umivale tiene, además, toda una serie de medidas para cumplir la Ley de Protección de Datos, algunas de carácter informático, como la separación de datos y documentos o el establecimiento de perfiles de acceso. Y otras tan directas como mantener bajo llave los archivos. "Hacemos firmar al personal un documento en el que garantiza que conoce toda la normativa y en el que se compromete a la confidencialidad", explica el director médico de la mutua, que añade que se hacen incluso llamadas de prueba para comprobar que ningún empleado ofrece información que no debería. "Pasamos cada año una auditoría sobre el cumplimiento de la protección de datos. Ahora, precisamente, está a punto de realizarse", añade.
El tema del tratamiento de los datos ha sido abordado también por el comité de empresa de la mutua, que el pasado enero denunciaba, entre otras actuaciones de un director de zona, "la vulneración sistemática, y el aval de ello, en una reciente reunión con mutualistas, del derecho a la intimidad de los pacientes, permitiendo el libre acceso a las historias clínicas al personal no sanitario, tanto por parte del director de zona como de los directores territoriales bajo su mando". La respuesta del responsable jurídico de Recursos Humanos de la mutua se amparaba, en concreto, en la auditoría: "Respecto a la presunta vulneración del derecho a la intimidad de los pacientes al que hacen referencia en su carta, solamente comentar que Umivale es una organización que se caracteriza por un respeto absoluto a la legalidad, y, en lo que respecta en concreto a la Ley Orgánica de Protección de Datos, está en posesión de los informes de auditoría emitidos por entidades habilitadas a tal efecto que así lo certifican".
Surgida de la fusión de diversas mutuas, la más antigua de las cuales fue la Mutua Valenciana, Umivale es una entidad colaboradora de la Seguridad Social (sus directivos y empleados han sufrido los recortes salariales que han afectado a todo el sector público) que atiende las contingencias derivadas de accidentes laborales y enfermedades profesionales, así como las contingencias comunes de bajas e incapacidades temporales de las empresas. Con más de medio millón de trabajadores protegidos en toda España, cuenta entre sus clientes con la gran banca privada, varias compañías eléctricas y empresas de la envergadura de Mercadona.
¿Qué datos puede manejar la mutua de cara a sus clientes, las empresas afiliadas? "Ofrecemos cierta información a los empresarios", explica Ramon Pinna, director de comunicación de Umivale. "Por ejemplo, cuándo se estima que estará recuperado el trabajador, la fecha prevista de alta, los días que ha pasado visita o datos estadísticos sobre frecuencia de bajas y accidentes de cara a la prevención".
Empleados de la mutua que quieren mantener el anonimato señalan, no obstante, no solo que el acceso a los historiales médicos es practicado por parte de personal no sanitario de administración y dirección, sino que la información concreta a las empresas puede ir más allá en algunos casos. "Dar información médica a las empresas está prohibido", reconoce tajantemente el propio director gerente de Umivale, Héctor Blasco. "El tema nos preocupa mucho. Pese a las medidas de confidencialidad, siempre puede haber quien no las tenga en cuenta. Si se detecta, se va a la calle", añade.
Fuente: El Pais
Fecha: 04/07/2010
El asunto del acceso a los historiales médicos y el respeto a la confidencialidad de los datos surgió en el juicio porque uno de los muchos elementos de fricción de la médico despedida con la dirección de la mutua fue precisamente la supuesta reclamación del directivo de una información sobre la salud de un paciente que la facultativa se negó a facilitar. El despido fue declarado nulo y la sentencia ha sido confirmada por el Tribunal Superior de Justicia hace apenas un mes. El directivo ha sido relevado de su cargo.
En el transcurso del juicio, el abogado de la médico despedida también le preguntó a un delegado de personal, miembro del comité de empresa. "¿Comentó con el directivo algo sobre los problemas de intromisión de los administrativos en los expedientes de los enfermos?". "Sí". "¿Qué le contestó?". "Más o menos, que es lo normal". "¿Hizo alguna acción para resolver el tema?". "No...". "¿Cualquier trabajador administrativo de la empresa puede acceder a los expedientes de enfermedad?". "Sí".
La custodia de los historiales médicos está estrictamente regulada por normas legales como la Ley General de Sanidad, la Ley Orgánica de Protección de Datos o la Ley Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica. "El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que llevan a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador", establece, por ejemplo, la Ley de Prevención de Riesgos Laborales.
"Somos una entidad sanitaria clínica y el personal administrativo de soporte no puede cumplir sus funciones sin acceder a determinada información médica", señala Pascual Rubio, director médico de la mutua."El de la confidencialidad es, sin duda, un tema delicado porque trabajamos con información muy sensible. El artículo 16 de la Ley de Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica permite que el personal de gestión sanitaria acceda a los datos necesarios para cumplir sus funciones", añade el director médico.
Rubio explica que Umivale tiene, además, toda una serie de medidas para cumplir la Ley de Protección de Datos, algunas de carácter informático, como la separación de datos y documentos o el establecimiento de perfiles de acceso. Y otras tan directas como mantener bajo llave los archivos. "Hacemos firmar al personal un documento en el que garantiza que conoce toda la normativa y en el que se compromete a la confidencialidad", explica el director médico de la mutua, que añade que se hacen incluso llamadas de prueba para comprobar que ningún empleado ofrece información que no debería. "Pasamos cada año una auditoría sobre el cumplimiento de la protección de datos. Ahora, precisamente, está a punto de realizarse", añade.
El tema del tratamiento de los datos ha sido abordado también por el comité de empresa de la mutua, que el pasado enero denunciaba, entre otras actuaciones de un director de zona, "la vulneración sistemática, y el aval de ello, en una reciente reunión con mutualistas, del derecho a la intimidad de los pacientes, permitiendo el libre acceso a las historias clínicas al personal no sanitario, tanto por parte del director de zona como de los directores territoriales bajo su mando". La respuesta del responsable jurídico de Recursos Humanos de la mutua se amparaba, en concreto, en la auditoría: "Respecto a la presunta vulneración del derecho a la intimidad de los pacientes al que hacen referencia en su carta, solamente comentar que Umivale es una organización que se caracteriza por un respeto absoluto a la legalidad, y, en lo que respecta en concreto a la Ley Orgánica de Protección de Datos, está en posesión de los informes de auditoría emitidos por entidades habilitadas a tal efecto que así lo certifican".
Surgida de la fusión de diversas mutuas, la más antigua de las cuales fue la Mutua Valenciana, Umivale es una entidad colaboradora de la Seguridad Social (sus directivos y empleados han sufrido los recortes salariales que han afectado a todo el sector público) que atiende las contingencias derivadas de accidentes laborales y enfermedades profesionales, así como las contingencias comunes de bajas e incapacidades temporales de las empresas. Con más de medio millón de trabajadores protegidos en toda España, cuenta entre sus clientes con la gran banca privada, varias compañías eléctricas y empresas de la envergadura de Mercadona.
¿Qué datos puede manejar la mutua de cara a sus clientes, las empresas afiliadas? "Ofrecemos cierta información a los empresarios", explica Ramon Pinna, director de comunicación de Umivale. "Por ejemplo, cuándo se estima que estará recuperado el trabajador, la fecha prevista de alta, los días que ha pasado visita o datos estadísticos sobre frecuencia de bajas y accidentes de cara a la prevención".
Empleados de la mutua que quieren mantener el anonimato señalan, no obstante, no solo que el acceso a los historiales médicos es practicado por parte de personal no sanitario de administración y dirección, sino que la información concreta a las empresas puede ir más allá en algunos casos. "Dar información médica a las empresas está prohibido", reconoce tajantemente el propio director gerente de Umivale, Héctor Blasco. "El tema nos preocupa mucho. Pese a las medidas de confidencialidad, siempre puede haber quien no las tenga en cuenta. Si se detecta, se va a la calle", añade.
Fuente: El Pais
Fecha: 04/07/2010
Facebook ya reconoce rostros automáticamente pero no etiqueta
Además de los polémicos cambios en la privacidad del sitio, la organización de Facebook acaba de sumar un cambio interesante sobre una funcionalidad de la red social. Se trata del reconocimiento de rostros, una mejora que los asiduos a colgar fotos en Facebook pedían a gritos. Pues deseo concedido. A partir de ahora, ordenar nuestros álbumes en Facebook será un poco más fácil, aunque Zuckerberg y los suyos se han dejado un detalle muy importante en el tintero. Además de reconocer rostros, el sistema tendría que etiquetarlos de forma automática. Nos ahorraríamos unos minutos de más buscando entre los nombres de nuestros amigos.
El caso es que para conseguir el reconocimiento automático de nuestros amigos y familiares, Facebook ha adquirido una nueva herramienta llamada Divvyshot. Se trata de una tecnología capaz de reconocer los rostros que ya se han etiquetado. Una vez ha detectado que en la foto aparece un amigo tuyo, Facebook lo encuadrará y es entonces cuando tendrás que buscar el nombre de tu amigo, seleccionarlo y finalizar el etiquetado. Lo mismo pasa en las cámaras fotográficas compactas que llevamos en el bolsillo o incluso en la de los teléfonos móviles que integran una cámara avanzada, en las que la función de reconocimiento ya es capaz de encontrar los rostros que habitualmente aparecen en nuestras fotos.
A la vista está, que lo más práctico sería que Facebook lograra reconocernos, a nosotros mismos y a nuestros amigos, para luego etiquetarnos de forma automática. Sin duda, los que normalmente añaden grandes paquetes fotográficos se ahorrarían largos minutos de etiquetado, una tarea de lo más engorrosa que algunos todavía ejecutan con resignación. Aunque la opción ya se encuentra disponible y ya ha sido publicada en blog de Facebook, la organización no ha dado noticias acerca del etiquetado automático. Aun así, el usuario dispone de un formulario abierto para expresar cualquier deseo de mejora. Habrá que aprovechar.
Fuente: Tuexperto
Fecha: 04/07/2010
El caso es que para conseguir el reconocimiento automático de nuestros amigos y familiares, Facebook ha adquirido una nueva herramienta llamada Divvyshot. Se trata de una tecnología capaz de reconocer los rostros que ya se han etiquetado. Una vez ha detectado que en la foto aparece un amigo tuyo, Facebook lo encuadrará y es entonces cuando tendrás que buscar el nombre de tu amigo, seleccionarlo y finalizar el etiquetado. Lo mismo pasa en las cámaras fotográficas compactas que llevamos en el bolsillo o incluso en la de los teléfonos móviles que integran una cámara avanzada, en las que la función de reconocimiento ya es capaz de encontrar los rostros que habitualmente aparecen en nuestras fotos.
A la vista está, que lo más práctico sería que Facebook lograra reconocernos, a nosotros mismos y a nuestros amigos, para luego etiquetarnos de forma automática. Sin duda, los que normalmente añaden grandes paquetes fotográficos se ahorrarían largos minutos de etiquetado, una tarea de lo más engorrosa que algunos todavía ejecutan con resignación. Aunque la opción ya se encuentra disponible y ya ha sido publicada en blog de Facebook, la organización no ha dado noticias acerca del etiquetado automático. Aun así, el usuario dispone de un formulario abierto para expresar cualquier deseo de mejora. Habrá que aprovechar.
Fuente: Tuexperto
Fecha: 04/07/2010
La SGAE absuelta por la mala calidad de sus imágenes
Resolución de la Agencia Española de Protección de Datos ante denuncia recibida el 23 de Enero de 2010 por la colocación de una cámara de videovigilancia en la fachada del edificio de la SGAE en Barcelona.
La AEPD resuelve archivar el procedimiento porque las imágenes recogidas tienen baja calidad impidiendo el reconocimiento de las personas.
[u]Entre las principales afirmaciones de la sentencia destacamos las siguientes:[/u]
La resolución de fecha 23 de abril de 2010 establece que, “Tanto la calidad de la imagen como la lejanía de la misma y sin posibilidad de “zoom” impide concluir el supuesto denunciado en el ámbito de la LOPD, que en su artículo 3.a) define el concepto de dato de carácter personal como “Cualquier información concerniente a personas físicas identificadas o identificables”, circunstancia que no se puede colegir del supuesto analizado.”
El sistema de seguridad contratado por la SGAE está compuesto, entre otros elementos o dispositivos, por distintas cámaras ubicadas en distintas zonas de las instalaciones propiedad de dicha sociedad, tres cámaras y dos monitores que permiten tanto visualizar como grabar las imágenes captadas por las referidas cámaras, información a la que únicamente tiene acceso, según la sociedad imputada, el vigilante de seguridad y dos personas pertenecientes al SGAE.
Así de conformidad con las definiciones recogidas en la normativa de protección de datos expuesta, la captación y grabación de imágenes a través de videocámaras, como es el caso que nos ocupa, constituye un tratamiento de datos personales, cuyo responsable se identifica, en este supuesto, con la SGAE, como sociedad que, en primer lugar, ha decido la instalación de las reseñadas videocámaras con fines de vigilancia en los lugares que ya han sido reseñados, y, en segundo lugar, ha dispuesto sobre la finalidad, contenido y uso del citado tratamiento de imágenes.
El responsable del fichero es, en suma, quien debe garantizar el derecho fundamental de protección de datos personales de todas las personas cuyos datos almacena. Por ello, va a estar obligado a llevar a cabo una serie de actuaciones dirigidas a la protección de los datos, a su integridad y a su seguridad.
En el caso que nos ocupa, la SGAE, es responsable del fichero dado que decide sobre la finalidad, contenido y uso del tratamiento derivado de las imágenes, requisitos necesarios para considerarse responsable del fichero, al amparo del artículo 3 d) de la LOPD.
Respecto a la alegación esgrimida por la SGAE relativa a la inexistencia de culpabilidad en su actuación, al haber suscrito el correspondiente contrato con una empresa de seguridad autorizada, con el objeto de garantizar la adecuación técnica y legal de los sistemas de videovigilancia instalados, hay que señalar que si bien es cierto, que el principio de culpabilidad es exigido en el procedimiento sancionador y así la STC 246/1991 considera inadmisible en el ámbito del Derecho administrativo sancionador una responsabilidad sin culpa, también lo es que el principio de culpa no implica que sólo pueda sancionarse una actuación intencionada y a este respecto el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, dispone “sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia”. (…) en el Derecho Administrativo Sancionador, la situación es completamente distinta puesto que por regla general basta la imprudencia para que se entienda cometida la infracción. No obstante, se tendrá en cuenta la existencia de dolo o culpa para agravar o aminorar la sanción por aplicación del principio de proporcionalidad, pues la existencia de intencionalidad es un criterio que debe ser utilizado para graduar la sanción. Así, en el caso que nos ocupa, este hecho ha sido tenido en cuenta para aminorar la sanción.
Así, en el caso que nos ocupa, es la SGAE, en base al principio de personalidad el responsable de la posible comisión de la infracción del artículo 6 de la LOPD, al ser ella la que ha decidido la instalación, finalidad, uso y contenido del tratamiento de las imágenes captadas por las cámaras.
La legitimación para el uso de instalaciones de videovigilancia se ciñe a la protección de entornos privados. La prevención del delito y la garantía de la seguridad en las vías públicas corresponden en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado. Por tanto la regla general es la prohibición de captar imágenes de la calle desde instalaciones privadas, al ser competencia de los Cuerpos y Fuerzas de Seguridad del Estado.
Sin embargo, en determinadas ocasiones la instalación de un sistema de videovigilancia privada puede captar imágenes parcialmente de la vía pública. Estos casos deben ser una excepción y respectar la proporcionalidad en el tratamiento. En primer lugar, no deberá existir una posibilidad de instalación alternativa. Por otra parte, las videocámaras deberán orientarse de modo tal que su objeto de vigilancia principal sea el entorno privado y la captación de imágenes de la vía.
Para que la excepción recogida en el artículo 4.3 de la Instrucción 1/2006 resulte aplicable no deberá existir una posibilidad de instalación alternativa, sin poder interpretarse que dicho precepto constituye una habilitación para captar imágenes en espacios públicos, puesto que en ningún caso puede admitirse el uso de prácticas de vigilancia más allá del entorno objeto de la instalación y en particular en lo que se refiere a los espacios públicos circundantes, edificios contiguos y vehículos distintos de los que accedan al espacio vigilado.
el concepto de dato personal, según la definición de la LOPD, requiere la concurrencia de un doble elemento: por una parte, la existencia de una información o dato y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable, por lo que la imagen de una persona física identificada o identificable constituye un dato de carácter personal.
Fuente: AEPD (www.agpd.es)
La AEPD resuelve archivar el procedimiento porque las imágenes recogidas tienen baja calidad impidiendo el reconocimiento de las personas.
[u]Entre las principales afirmaciones de la sentencia destacamos las siguientes:[/u]
La resolución de fecha 23 de abril de 2010 establece que, “Tanto la calidad de la imagen como la lejanía de la misma y sin posibilidad de “zoom” impide concluir el supuesto denunciado en el ámbito de la LOPD, que en su artículo 3.a) define el concepto de dato de carácter personal como “Cualquier información concerniente a personas físicas identificadas o identificables”, circunstancia que no se puede colegir del supuesto analizado.”
El sistema de seguridad contratado por la SGAE está compuesto, entre otros elementos o dispositivos, por distintas cámaras ubicadas en distintas zonas de las instalaciones propiedad de dicha sociedad, tres cámaras y dos monitores que permiten tanto visualizar como grabar las imágenes captadas por las referidas cámaras, información a la que únicamente tiene acceso, según la sociedad imputada, el vigilante de seguridad y dos personas pertenecientes al SGAE.
Así de conformidad con las definiciones recogidas en la normativa de protección de datos expuesta, la captación y grabación de imágenes a través de videocámaras, como es el caso que nos ocupa, constituye un tratamiento de datos personales, cuyo responsable se identifica, en este supuesto, con la SGAE, como sociedad que, en primer lugar, ha decido la instalación de las reseñadas videocámaras con fines de vigilancia en los lugares que ya han sido reseñados, y, en segundo lugar, ha dispuesto sobre la finalidad, contenido y uso del citado tratamiento de imágenes.
El responsable del fichero es, en suma, quien debe garantizar el derecho fundamental de protección de datos personales de todas las personas cuyos datos almacena. Por ello, va a estar obligado a llevar a cabo una serie de actuaciones dirigidas a la protección de los datos, a su integridad y a su seguridad.
En el caso que nos ocupa, la SGAE, es responsable del fichero dado que decide sobre la finalidad, contenido y uso del tratamiento derivado de las imágenes, requisitos necesarios para considerarse responsable del fichero, al amparo del artículo 3 d) de la LOPD.
Respecto a la alegación esgrimida por la SGAE relativa a la inexistencia de culpabilidad en su actuación, al haber suscrito el correspondiente contrato con una empresa de seguridad autorizada, con el objeto de garantizar la adecuación técnica y legal de los sistemas de videovigilancia instalados, hay que señalar que si bien es cierto, que el principio de culpabilidad es exigido en el procedimiento sancionador y así la STC 246/1991 considera inadmisible en el ámbito del Derecho administrativo sancionador una responsabilidad sin culpa, también lo es que el principio de culpa no implica que sólo pueda sancionarse una actuación intencionada y a este respecto el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común, dispone “sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia”. (…) en el Derecho Administrativo Sancionador, la situación es completamente distinta puesto que por regla general basta la imprudencia para que se entienda cometida la infracción. No obstante, se tendrá en cuenta la existencia de dolo o culpa para agravar o aminorar la sanción por aplicación del principio de proporcionalidad, pues la existencia de intencionalidad es un criterio que debe ser utilizado para graduar la sanción. Así, en el caso que nos ocupa, este hecho ha sido tenido en cuenta para aminorar la sanción.
Así, en el caso que nos ocupa, es la SGAE, en base al principio de personalidad el responsable de la posible comisión de la infracción del artículo 6 de la LOPD, al ser ella la que ha decidido la instalación, finalidad, uso y contenido del tratamiento de las imágenes captadas por las cámaras.
La legitimación para el uso de instalaciones de videovigilancia se ciñe a la protección de entornos privados. La prevención del delito y la garantía de la seguridad en las vías públicas corresponden en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado. Por tanto la regla general es la prohibición de captar imágenes de la calle desde instalaciones privadas, al ser competencia de los Cuerpos y Fuerzas de Seguridad del Estado.
Sin embargo, en determinadas ocasiones la instalación de un sistema de videovigilancia privada puede captar imágenes parcialmente de la vía pública. Estos casos deben ser una excepción y respectar la proporcionalidad en el tratamiento. En primer lugar, no deberá existir una posibilidad de instalación alternativa. Por otra parte, las videocámaras deberán orientarse de modo tal que su objeto de vigilancia principal sea el entorno privado y la captación de imágenes de la vía.
Para que la excepción recogida en el artículo 4.3 de la Instrucción 1/2006 resulte aplicable no deberá existir una posibilidad de instalación alternativa, sin poder interpretarse que dicho precepto constituye una habilitación para captar imágenes en espacios públicos, puesto que en ningún caso puede admitirse el uso de prácticas de vigilancia más allá del entorno objeto de la instalación y en particular en lo que se refiere a los espacios públicos circundantes, edificios contiguos y vehículos distintos de los que accedan al espacio vigilado.
el concepto de dato personal, según la definición de la LOPD, requiere la concurrencia de un doble elemento: por una parte, la existencia de una información o dato y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable, por lo que la imagen de una persona física identificada o identificable constituye un dato de carácter personal.
Fuente: AEPD (www.agpd.es)
viernes, 2 de julio de 2010
La Ertzaintza constata graves fallos en la seguridad de la sede de la Spri
La seguridad del edificio en el que el Gobierno vasco ubica las sedes centrales de varias sociedades públicas en la Plaza Bizkaia de Bilbao -flamante y moderno, inaugurado a mediados de 2006- es manifiestamente mejorable. Esta es la síntesis del informe que la Ertzaintza ha trasladado a los responsables del Ejecutivo, después de realizar un barrido en busca de sistemas de espionaje en las oficinas del grupo Spri. El 'caso Zubiaurre' va a obligar al Gabinete de Patxi López a reconsiderar algunas de las características estructurales de este inmueble, ocupado por empresas públicas como Sprilur, Capital Riesgo, Ihobe o el Ente Vasco de la Energía (EVE).
La búsqueda de micrófonos o aparatos para 'robar' datos oficiales, que comenzó en la tarde del miércoles y se prolongó también durante el día de ayer, resultó infructuosa. El minucioso escaneo que agentes especializados de la Policía autónoma vasca realizaron en despachos y salas de reuniones da a entender que el edificio ya está limpio. Los ordenadores con programas espía que fueron detectados a raíz de una denuncia del propio Departamento de Industria han sido neutralizados y no existen nuevos indicios de actuaciones irregulares.
Un problema conocido
El trabajo de la Ertzaintza -que también ha revisado los vehículos de varios directivos del área de Industria, con idéntico resultado- sí ha permitido concluir, sin embargo, que el edificio, desde el punto de vista de la seguridad, es un 'queso emmental', lleno de agujeros. Las deficiencias son diversas, algunas subsanables con cambios en la organización -es el caso de la seguridad documental, informática o del acceso a las plantas- pero otras son estructurales y más complicadas de reparar en el corto plazo. El informe hace oficial algo que todos los empleados del Gobierno vasco que trabajan en el interior ya conocían: el edificio es «indiscreto». Las paredes y los suelos parecen de papel. Hasta tal punto que las conversaciones que tienen lugar en el despacho de Tomás Orbea, el director general del grupo Spri, pueden escucharse con relativa facilidad en el lugar de trabajo del máximo responsable del EVE, José Ignacio Hormaeche, situado una planta más abajo.
La mayor parte del inmueble está diseñado con espacios diáfanos, pero el acceso a los contados despachos que existen en las ocho plantas -ocupados por los directivos de las empresas- es bastante sencillo. Sus paredes no llegan hasta el techo, tienen una zona abierta en la parte superior y si la puerta está cerrada basta trepar un poco para pasar al interior.
Aunque no figura en el análisis realizado por la Ertzaintza, trabajadores de estas sociedades públicas alojadas en el edificio de la plaza Bizkaia reconocen que la entrada también tiene sus lagunas. Así, recuerdan la anécdota ocurrida las pasadas navidades, cuando se coló en su interior un vendedor de chorizos y jamones, que recorrió todas las plantas ofreciendo los productos de chacinería a los empleados.
«Una pieza separada»
El consejero de Interior, Rodolfo Ares, reconoció ayer que el barrido realizado por agentes de la Ertzaintza es «una pieza separada de la investigación que ya se había realizado y que está en manos del juez». El responsable de la Ertzaintza indicó que habían sido los responsables del Departamento de Industria quienes habían solicitado este trabajo en profundidad, después de que se descubriese que algunos ordenadores de directivos del grupo Spri habían sido manipulados con un programa espía y que estaban siendo monitorizados desde el exterior, a través de Internet.
Ares no quiso desvelar detalles adicionales sobre la investigación, ya que aún se encuentra sometida a secreto sumarial, pero recordó que «hay dos personas imputadas», en referencia a Antton Zubiaurre, ex director de Sprilur, y su ex chofer.
Fuente: El Correo
Fecha: 02/07/2010
La búsqueda de micrófonos o aparatos para 'robar' datos oficiales, que comenzó en la tarde del miércoles y se prolongó también durante el día de ayer, resultó infructuosa. El minucioso escaneo que agentes especializados de la Policía autónoma vasca realizaron en despachos y salas de reuniones da a entender que el edificio ya está limpio. Los ordenadores con programas espía que fueron detectados a raíz de una denuncia del propio Departamento de Industria han sido neutralizados y no existen nuevos indicios de actuaciones irregulares.
Un problema conocido
El trabajo de la Ertzaintza -que también ha revisado los vehículos de varios directivos del área de Industria, con idéntico resultado- sí ha permitido concluir, sin embargo, que el edificio, desde el punto de vista de la seguridad, es un 'queso emmental', lleno de agujeros. Las deficiencias son diversas, algunas subsanables con cambios en la organización -es el caso de la seguridad documental, informática o del acceso a las plantas- pero otras son estructurales y más complicadas de reparar en el corto plazo. El informe hace oficial algo que todos los empleados del Gobierno vasco que trabajan en el interior ya conocían: el edificio es «indiscreto». Las paredes y los suelos parecen de papel. Hasta tal punto que las conversaciones que tienen lugar en el despacho de Tomás Orbea, el director general del grupo Spri, pueden escucharse con relativa facilidad en el lugar de trabajo del máximo responsable del EVE, José Ignacio Hormaeche, situado una planta más abajo.
La mayor parte del inmueble está diseñado con espacios diáfanos, pero el acceso a los contados despachos que existen en las ocho plantas -ocupados por los directivos de las empresas- es bastante sencillo. Sus paredes no llegan hasta el techo, tienen una zona abierta en la parte superior y si la puerta está cerrada basta trepar un poco para pasar al interior.
Aunque no figura en el análisis realizado por la Ertzaintza, trabajadores de estas sociedades públicas alojadas en el edificio de la plaza Bizkaia reconocen que la entrada también tiene sus lagunas. Así, recuerdan la anécdota ocurrida las pasadas navidades, cuando se coló en su interior un vendedor de chorizos y jamones, que recorrió todas las plantas ofreciendo los productos de chacinería a los empleados.
«Una pieza separada»
El consejero de Interior, Rodolfo Ares, reconoció ayer que el barrido realizado por agentes de la Ertzaintza es «una pieza separada de la investigación que ya se había realizado y que está en manos del juez». El responsable de la Ertzaintza indicó que habían sido los responsables del Departamento de Industria quienes habían solicitado este trabajo en profundidad, después de que se descubriese que algunos ordenadores de directivos del grupo Spri habían sido manipulados con un programa espía y que estaban siendo monitorizados desde el exterior, a través de Internet.
Ares no quiso desvelar detalles adicionales sobre la investigación, ya que aún se encuentra sometida a secreto sumarial, pero recordó que «hay dos personas imputadas», en referencia a Antton Zubiaurre, ex director de Sprilur, y su ex chofer.
Fuente: El Correo
Fecha: 02/07/2010
Suscribirse a:
Entradas (Atom)
Entradas
