Un grave fallo de seguridad permitió acceder a través de Internet a los datos personales de cientos de ciudadanos que se habían registrado en la Lista Robinson, creada por la Agencia Española de Protección de Datos (AEPD) para aquellos usuarios que no quisiesen recibir información comercial a través de su teléfono móvil, teléfono fijo, correo ordinario o electrónico.
Como podemos leer en Security by Default, una importante vulnerabilidad fue descubierta en la llamada Lista Robinson una medida destinada a aquellos ciudadanos que hartos de recibir spam de cualquier tipo sin haberlo solicitado no fuesen víctimas de estas prácticas de dudosa legalidad. Según se indica desde la citada web, cualquier usuario o empresa pudo haber accedido a datos personales de los inscritos sin necesidad de registrarse como usuario ni como entidad autorizada.
El descubirdor de la falla explica el proceso paso a paso
La web expone el caso de un ciudadano que burló con cierta facilidad la seguridad del sistema para acceder a toda la información de los ciudadanos. Para ello sirvió con consultar el código de la web de la Lista Robinson y modificarlo de una sencilla forma. Esto le permitió acceder a una serie de funcionalidades que en teoría, sólo eran accesibles por parte de una entidad registrada y autorizada para consultar esta lista. De ahí consiguió acceder al programa que utilizan las entidades para consultar los datos y a través de su código fuente logró entrar en el FTP con los datos necesarios para hacerse con los datos privados de los ciudadanos allí registrados.
Según se informa desde la web, las investigaciones de este particular fueron remitidas a la la Federación de Comercio Electrónico y Marketing Directo (FECEMD), quien colaboró con la AEPD en la creación del servicio, y subsanó de forma rápida el problema. Sin embargo, no se sabe desde hace cuánto este fallo de seguridad afecta a un sistema que se creó hace más de un año.
No deja de ser llamativo que un servicio creado para proteger la intimidad de los ciudadanos y que no reciban las en ocasiones insoportables llamadas telefónicas haya sufrido una vulnerabilidad de este tipo. Por ello, es cuanto menos exigible que esta información sea tratada con el máximo cuidado ya que los usuarios han acudido a este registro de forma voluntaria y gratuita para evitar que sus datos caigan en manos de cualquier empresa con fines comerciales e insistencia infinita a la hora de publicitarse.
Fuente: ADSLZone
Fecha: 26/10/2010
martes, 26 de octubre de 2010
¿Las historias clínicas se guardan bajo llave?
¿Los dispositivos de almacenamiento de las historias clínicas disponen de mecanismos que obstaculicen su apertura (por ejemplo, archivadores con cerradura)? ¿Disponen de medidas de destrucción y desecho de la información que garanticen la confidencialidad e imposibiliten su acceso a terceras personas no autorizadas? ¿Se informa al personal de limpieza sobre la necesidad de garantizar la confidencialidad de los datos (por ejemplo, en la recogida de la basura)? Y así hasta 50 preguntas conformaban el cuestionario que -hasta el 31 de julio, como fecha límite- tuvieron que responder los 23 centros hospitalarios del Principado (11 privados y 12 públicos) que colaboraron con la Agencia Española de Protección de Datos en la elaboración de un informe con el que este organismo ha podido concluir que uno de cada tres hospitales españoles incumple la actual normativa sobre protección de datos de los pacientes.
Dice el director de la Agencia, Artami Rallo, que la iniciativa de evaluarlos surgió tras tener constancia de casos «alarmantes», como que información relativa a determinados enfermos podía encontrarse en redes de intercambio de archivos en internet, como e-Mule, o que documentación clínica había aparecido abandonada en contenedores de basura en la vía pública.
En Asturias no han trascendido episodios de tanta gravedad y, además, la región sale bastante bien parada de la investigación llevada a cabo por la Agencia Española de Protección de Datos -algo de lo que no pueden presumir Cantabria, Aragón, Canarias y la Comunidad Valenciana, las peor clasificadas en el estudio-. Aún así, hay dos manchas que empañan el expediente de los hospitales asturianos en materia de protección de datos: sólo el 25% de los centros públicos incluye la cláusula informativa en los formularios de recogida de datos de los pacientes y sólo un 8,3% del conjunto de hospitales evaluados realiza una auditoría de seguridad cada dos años, como establece la Ley Orgánica de Protección de Datos (LOPD).
En términos generales, el informe revela que el grado de incumplimiento de la normativa española es mayor en los hospitales públicos que en los privados. Así, de los 268 centros de la red sanitaria pública evaluados, más de la mitad (159) deberá introducir alguna medida correctora. Como en Asturias, en el conjunto del país los principales incumplimientos detectados tienen que ver con la implantación de medidas de seguridad y custodia de la información, la inclusión de cláusulas informativas en la recogida de datos y la realización de auditorías de seguridad.
En la presentación del estudio, Artami Rallo reconoció que los resultados del mismo «no sorprenden» y que conectan «perfectamente» con las preocupaciones que suscitaron la realización del examen que, por cierto, no distingue entre centros que han implantado la historia clínica digital y los que aún no lo han hecho. Lo que sí prevé Rallo es que la nueva técnica contribuirá a mejorar el cumplimiento de la legislación de protección de datos.
Multas sólo para los privados
La normativa actual no establece ningún régimen sancionador de tipo económico para las entidades públicas que incumplan la ley. Lo que se hace en estos casos es trasladar las deficiencias detectadas tanto a la consejería de Salud de cada comunidad autónoma como al Defensor del Pueblo. Para quien sí se contemplan multas es para los hospitales privados. En función de la gravedad de la infracción, las sanciones pueden ir desde los 600 a los 600.000 euros.
En los cuatro últimos años, la Agencia Española de Protección de Datos atendió una decena de denuncias formuladas por pacientes asturianos y que guardaba relación con el acceso a datos clínicos o con el uso indebido de los mismos. Entre los hospitales denunciados figuran el Hospital Central, Cabueñes, Jarrio y San Agustín. La mayor parte de los casos corresponden a personas que han tenido dificultades para hacerse con su historia clínica o con datos sanitarios de un familiar fallecido. También se denunció la publicación de datos personales en internet.
Fuente: El COmercio Digital
Fecha: 16/10/2010
Dice el director de la Agencia, Artami Rallo, que la iniciativa de evaluarlos surgió tras tener constancia de casos «alarmantes», como que información relativa a determinados enfermos podía encontrarse en redes de intercambio de archivos en internet, como e-Mule, o que documentación clínica había aparecido abandonada en contenedores de basura en la vía pública.
En Asturias no han trascendido episodios de tanta gravedad y, además, la región sale bastante bien parada de la investigación llevada a cabo por la Agencia Española de Protección de Datos -algo de lo que no pueden presumir Cantabria, Aragón, Canarias y la Comunidad Valenciana, las peor clasificadas en el estudio-. Aún así, hay dos manchas que empañan el expediente de los hospitales asturianos en materia de protección de datos: sólo el 25% de los centros públicos incluye la cláusula informativa en los formularios de recogida de datos de los pacientes y sólo un 8,3% del conjunto de hospitales evaluados realiza una auditoría de seguridad cada dos años, como establece la Ley Orgánica de Protección de Datos (LOPD).
En términos generales, el informe revela que el grado de incumplimiento de la normativa española es mayor en los hospitales públicos que en los privados. Así, de los 268 centros de la red sanitaria pública evaluados, más de la mitad (159) deberá introducir alguna medida correctora. Como en Asturias, en el conjunto del país los principales incumplimientos detectados tienen que ver con la implantación de medidas de seguridad y custodia de la información, la inclusión de cláusulas informativas en la recogida de datos y la realización de auditorías de seguridad.
En la presentación del estudio, Artami Rallo reconoció que los resultados del mismo «no sorprenden» y que conectan «perfectamente» con las preocupaciones que suscitaron la realización del examen que, por cierto, no distingue entre centros que han implantado la historia clínica digital y los que aún no lo han hecho. Lo que sí prevé Rallo es que la nueva técnica contribuirá a mejorar el cumplimiento de la legislación de protección de datos.
Multas sólo para los privados
La normativa actual no establece ningún régimen sancionador de tipo económico para las entidades públicas que incumplan la ley. Lo que se hace en estos casos es trasladar las deficiencias detectadas tanto a la consejería de Salud de cada comunidad autónoma como al Defensor del Pueblo. Para quien sí se contemplan multas es para los hospitales privados. En función de la gravedad de la infracción, las sanciones pueden ir desde los 600 a los 600.000 euros.
En los cuatro últimos años, la Agencia Española de Protección de Datos atendió una decena de denuncias formuladas por pacientes asturianos y que guardaba relación con el acceso a datos clínicos o con el uso indebido de los mismos. Entre los hospitales denunciados figuran el Hospital Central, Cabueñes, Jarrio y San Agustín. La mayor parte de los casos corresponden a personas que han tenido dificultades para hacerse con su historia clínica o con datos sanitarios de un familiar fallecido. También se denunció la publicación de datos personales en internet.
Fuente: El COmercio Digital
Fecha: 16/10/2010
Los hospitales gallegos obvian la protección de datos
Uno de cada tres hospitales españoles no cumple con la Ley Orgánica de Protección de Datos (LOPD), que obliga a implantar medidas de seguridad y confidencialidad de la información sanitaria y las historias clínicas de los pacientes, según los resultados de un estudio de la Agencia Española de Protección de Datos (AEPD). El mismo informe advierte de que Galicia se encuentra entre las comunidades que menos incluyen clausulas sobre el destino de las referencias que se le piden a los pacientes.
La inclusión de la cláusula informativa en los formularios de recogida de datos de los pacientes es particularmente baja en los hospitales públicos de Aragón (5%), Castilla y León (23%), Asturias (25%), Canarias (27%) y Galicia (32%).
Para esta investigación se ha requerido información a más de 600 hospitales públicos y privados registrados en el Catálogo Nacional de Hospitales. De este modo, se incluyeron centros todas las comunidades autónomas salvo Cataluña y Madrid y el País Vasco, donde solo participaron hospitales privados.
Un total de 562 centros hospitalarios accedieron a facilitar los datos demandados por la AEPD y, de estos, 202 presentaron “deficiencias de cumplimiento” en algún punto de la ley, que deberán “subsanar” en un plazo máximo de seis meses para no volver a ser apercibidos.
LOS PRIVADOS, MEJOR
La investigación muestra cómo el grado de incumplimiento de la normativa española de protección de datos es mayor en los centros públicos, ya que de los 268 hospitales del Sistema Nacional de Salud (SNS) analizados más de la mitad (159) deberán hacer correcciones.
De este modo, el 30% de los centros de titularidad autonómica analizados no dispone de medidas para evitar la sustracción, pérdida o acceso indebido a las historias clínicas de los pacientes y hasta el 37% no cuenta con un registro con todos los accesos a la información confidencial de que dispone.
Otro dato “especialmente preocupante”, según el director de la AEPD, Artemi Rallo, es el hecho de que un 66% de los hospitales públicos no realice una auditoría bianual de seguridad como marca la ley, algo que sí hace el 88% de los hospitales privados. En este caso, la situación de la comunidad mejora considerablemente, ya que cumplen con el protocolo más del 90% de los centros.
La normativa actual no establece ningún régimen sancionador de tipo económico para cualquier entidad pública que incumpla con la ley, según explica Rallo, por lo que en estos casos se informa de todas las carencias observadas. Por contra, para los incumplimientos en la sanidad privada la ley establece un régimen sancionador con multas que pueden variar de entre 600 y 600.000 euros.
Fuente: Xornal
Fecha: 15/10/2010
La inclusión de la cláusula informativa en los formularios de recogida de datos de los pacientes es particularmente baja en los hospitales públicos de Aragón (5%), Castilla y León (23%), Asturias (25%), Canarias (27%) y Galicia (32%).
Para esta investigación se ha requerido información a más de 600 hospitales públicos y privados registrados en el Catálogo Nacional de Hospitales. De este modo, se incluyeron centros todas las comunidades autónomas salvo Cataluña y Madrid y el País Vasco, donde solo participaron hospitales privados.
Un total de 562 centros hospitalarios accedieron a facilitar los datos demandados por la AEPD y, de estos, 202 presentaron “deficiencias de cumplimiento” en algún punto de la ley, que deberán “subsanar” en un plazo máximo de seis meses para no volver a ser apercibidos.
LOS PRIVADOS, MEJOR
La investigación muestra cómo el grado de incumplimiento de la normativa española de protección de datos es mayor en los centros públicos, ya que de los 268 hospitales del Sistema Nacional de Salud (SNS) analizados más de la mitad (159) deberán hacer correcciones.
De este modo, el 30% de los centros de titularidad autonómica analizados no dispone de medidas para evitar la sustracción, pérdida o acceso indebido a las historias clínicas de los pacientes y hasta el 37% no cuenta con un registro con todos los accesos a la información confidencial de que dispone.
Otro dato “especialmente preocupante”, según el director de la AEPD, Artemi Rallo, es el hecho de que un 66% de los hospitales públicos no realice una auditoría bianual de seguridad como marca la ley, algo que sí hace el 88% de los hospitales privados. En este caso, la situación de la comunidad mejora considerablemente, ya que cumplen con el protocolo más del 90% de los centros.
La normativa actual no establece ningún régimen sancionador de tipo económico para cualquier entidad pública que incumpla con la ley, según explica Rallo, por lo que en estos casos se informa de todas las carencias observadas. Por contra, para los incumplimientos en la sanidad privada la ley establece un régimen sancionador con multas que pueden variar de entre 600 y 600.000 euros.
Fuente: Xornal
Fecha: 15/10/2010
"La tecnología para la protección de datos existe, falta la concienciación"
Los datos personales de los pacientes en el sector sanitario son de gran sensibilidad y los centros sanitarios deben implementar en sus instalaciones las medidas de seguridad convenientes para el buen uso de los mismos y, a la vez, cumplir con la nueva Ley Orgánica de Protección de Datos (LOPD).
El nuevo reglamento define aspectos que la anterior normativa no dejaba resueltos y sobre los que se habían ido asentando criterios de la Agencia Española de Protección de Datos (AEPD) y la jurisprudencia, en la práctica del día a día, de diferentes organizaciones. "No obstante, aún quedan muchos puntos y nuevos problemas emergentes que no resuelve la nueva norma y sobre los que habrá que trabajar en los próximos años", indica Carlos Alberto Saiz, socio de Governance, Risk & Compliance IT ÉCIJA. Sin embargo, destaca "el impulso que ha generado el reglamento con nuevas medidas para los ficheros que se encuentran en soporte papel".
Sobre las normas que se establecen en relación a la LOPD en cada comunidad autónoma, Saiz explica que "existen diferentes normativas pero con un cuerpo troncal similar". Es necesario recordar, apunta, "que Madrid, Cataluña y País Vasco tiene una Autoridad Autonómica de Protección de Datos con competencia en el ámbito público, mientras que la Agencia Española tiene competencia en el ámbito privado y en el público del resto de comunidades".
Además, Sanidad también sucumbe a la proliferación de los servicios web de los organismos públicos para los ciudadanos, que vienen amparados por el reciente Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Es imprescindible, indica Saiz, "dotar de la necesaria seguridad a la información y transacciones que se realizan en el sector sanitario y, esta norma, establece un marco de gestión de la seguridad que la telemedicina debe cumplir para garantizar la confidencialidad, disponibilidad e integridad de la información de los pacientes".
En este ámbito de protección de datos, también encontramos la ISO 27799, en la que, hasta ahora, se habían basado varias organizaciones sanitarias para la gestión de riesgos y seguridad en la información. Sin embargo, prima el nuevo Esquema Nacional de Seguridad y todas las organizaciones deberán adaptarse a sus requerimientos. "Esta norma común es necesaria y la adaptación será más sencilla, sin duda, para aquellas entidades que se hayan basado primero en la ISO 27799", asegura Saiz.
A la hora de proteger los datos durante la realización de ensayos clínicos, Saiz asegura que "existen varios casos de éxito y que, además, se han mejorado las técnicas para disociar o hacer anónimos los datos". Sin embargo, añade, "aún queda camino para que todos los ensayos clínicos, públicos y privados, partan de una metodología común que respete la privacidad de los pacientes".
En definitiva, los requisitos normativos sobre el tratamiento de la información adquieren especial importancia en el sector sanitario, donde casi todos los datos son sensibles y son muchos los profesionales y departamentos que acceden a la información. Existe la tecnología y las medidas adecuadas para su protección, pero "sigue siendo necesaria la concienciación y la difusión de la cultura de la seguridad para que llegue a todos los rincones de actuación y se consiga minimizar los errores del factor humano", sentencia Saiz.
Fuente: Expansion
Fecha: 08/10/2010
El nuevo reglamento define aspectos que la anterior normativa no dejaba resueltos y sobre los que se habían ido asentando criterios de la Agencia Española de Protección de Datos (AEPD) y la jurisprudencia, en la práctica del día a día, de diferentes organizaciones. "No obstante, aún quedan muchos puntos y nuevos problemas emergentes que no resuelve la nueva norma y sobre los que habrá que trabajar en los próximos años", indica Carlos Alberto Saiz, socio de Governance, Risk & Compliance IT ÉCIJA. Sin embargo, destaca "el impulso que ha generado el reglamento con nuevas medidas para los ficheros que se encuentran en soporte papel".
Sobre las normas que se establecen en relación a la LOPD en cada comunidad autónoma, Saiz explica que "existen diferentes normativas pero con un cuerpo troncal similar". Es necesario recordar, apunta, "que Madrid, Cataluña y País Vasco tiene una Autoridad Autonómica de Protección de Datos con competencia en el ámbito público, mientras que la Agencia Española tiene competencia en el ámbito privado y en el público del resto de comunidades".
Además, Sanidad también sucumbe a la proliferación de los servicios web de los organismos públicos para los ciudadanos, que vienen amparados por el reciente Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Es imprescindible, indica Saiz, "dotar de la necesaria seguridad a la información y transacciones que se realizan en el sector sanitario y, esta norma, establece un marco de gestión de la seguridad que la telemedicina debe cumplir para garantizar la confidencialidad, disponibilidad e integridad de la información de los pacientes".
En este ámbito de protección de datos, también encontramos la ISO 27799, en la que, hasta ahora, se habían basado varias organizaciones sanitarias para la gestión de riesgos y seguridad en la información. Sin embargo, prima el nuevo Esquema Nacional de Seguridad y todas las organizaciones deberán adaptarse a sus requerimientos. "Esta norma común es necesaria y la adaptación será más sencilla, sin duda, para aquellas entidades que se hayan basado primero en la ISO 27799", asegura Saiz.
A la hora de proteger los datos durante la realización de ensayos clínicos, Saiz asegura que "existen varios casos de éxito y que, además, se han mejorado las técnicas para disociar o hacer anónimos los datos". Sin embargo, añade, "aún queda camino para que todos los ensayos clínicos, públicos y privados, partan de una metodología común que respete la privacidad de los pacientes".
En definitiva, los requisitos normativos sobre el tratamiento de la información adquieren especial importancia en el sector sanitario, donde casi todos los datos son sensibles y son muchos los profesionales y departamentos que acceden a la información. Existe la tecnología y las medidas adecuadas para su protección, pero "sigue siendo necesaria la concienciación y la difusión de la cultura de la seguridad para que llegue a todos los rincones de actuación y se consiga minimizar los errores del factor humano", sentencia Saiz.
Fuente: Expansion
Fecha: 08/10/2010
¿Acumula datos de clientes? Incumplir la ley le puede costar 600.000 euros
¿Sabía que no puede usar la fecha de nacimiento de uno de sus empleados para felicitarle por su cumpleaños? ¿O que no puede ceder datos de sus clientes a un tercero sin el consentimiento de éstos? La respuesta está en la Ley Orgánica de Protección de Datos (LOPD), una norma fundamental que afecta a todas las empresas, grandes, pequeñas y de cualquier sector, y que sin embargo, según confiesa un abogado, "es imposible cumplir al cien por cien".
De hecho, y según datos del Instituto Nacional de Tecnologías de la Información del Ministerio de Industria, un mayoritario 96% de las pymes españolas de menos de 50 empleados disponen de datos de carácter personal, y están por tanto sujetas a la LOPD. De éstas, sólo el 16% declaran los ficheros ante la Agencia de Protección de Datos.
Pero hay más formas de incumplir con la ley. Un ejemplo: tengo un responsable de Recursos Humanos que no avisa al posible candidato a ocupar un puesto de que su currículum se va a incluir en un fichero, y que se va a mantener ahí por espacio de tiempo de un año. Ya se está incumpliendo con la LOPD. Y es que además de los aspectos técnicos y legales que implica la ley de protección, gestión y tratamiento de datos, están los meramente organizativos, que suelen ser los más complicados.
Ficheros lógicos
Pero vayamos por pasos. El primero de ellos, según explica Miguel Geijo, asociado de mercantil en Garrigues, es la identificación de todos datos de carácter personal susceptibles de ser tratados por los empleados de la empresa. A partir de ahí, hay que ordenarlos. Pero no de cualquier manera. En ficheros lógicos que, por ejemplo, separen los datos de empleados, candidatos, clientes y target -potenciales clientes-. Ojo, porque hablamos en todo momento de datos de personas físicas; la ley excluye a las jurídicas, esto es, no tenemos por qué incluir a una empresa.
Llega el momento de identificarlos: ver la naturaleza de cada dato (si es de salud, de afiliación sindical, financiero...), el uso que estoy haciendo del mismo y posibles cesiones a terceros.
Ceder referencias a terceros
Este último punto es muy im-portante. Como explica Antonio Sánchez-Crespo López, socio director de Sánchez-Crespo Abogados, hay varios escenarios posibles en los que una empresa cede sus datos a un tercero: pensemos en un servicios de consultoría, una gestoría, una empresa de mantenimiento informático, una asesoría... En este caso, hay que firmar un contrato en el que tiene que quedar constancia de: las instrucciones, los fines concretos para los que se pueden tratar los datos o acceder a los ficheros, prohibición expresa de cederlos a terceros, las medidas de seguridad que tienen que seguir y la necesidad de devolverlos o destruirlos cuando termine la prestación de servicios.
Una vez tenemos los ficheros ordenados hay que determinar las medidas de seguridad que requieren, y si nos basta con un nivel básico, o hay que subir al intermedio o al superior. Por cierto, hay datos, como antecedentes penales, que no se pueden tener. Y entre los que requieren mayor protección: afiliación sindical, datos de salud, creencias religiosas, políticas... Es más, algunos no sólo los regula la LOPD, los sanitarios, por ejemplo, están regulados, además, por la Ley de Autonomía del Paciente. Los financieros y los relativos al mundo de las telecomunicaciones también gozan de regulación específica.
¿Cómo protegerlos? Mediante servicios de backup o copias de seguridad, y con cambios frecuentes (cada 15 días) de las coordenadas de seguridad, si son electrónicos, o directamente restringiendo el acceso físico a los ficheros si éstos son de papel.
Llega el momento de declarar a la agencia de protección de datos los ficheros que tenemos en nuestra posesión e inscribirlos en el Registro general de protección de datos. En 2006, por ejemplo, había más de 815.000 ficheros inscritos.
Inscribirlos equivale a cumplimentar un documento, accesible desde la web de la agencia (programa NOTA) en el que se da cuenta de los datos de la compañía, finalidad de los ficheros, los encargados de su mantenimiento, etc.
Todo este procesos requiere, cómo no, unos gastos para la empresa y puede compensar externalizar a un tercero la elaboración, mantenimiento y actualización de los ficheros. Aunque Sánchez-Crespo habla de "inversión" más que gasto. Entre otros beneficios, destaca que crea seguridad jurídica en el entorno de personas con el que se relaciona la empresa -clientes, proveedores...-. También permite organizar los recursos humanos a través de los perfiles de cada uno, mejora la gestión de seguridad de la información y, cómo no, evita sanciones administrativas.
Fuente: El Economista
Fecha: 04/10/2010
De hecho, y según datos del Instituto Nacional de Tecnologías de la Información del Ministerio de Industria, un mayoritario 96% de las pymes españolas de menos de 50 empleados disponen de datos de carácter personal, y están por tanto sujetas a la LOPD. De éstas, sólo el 16% declaran los ficheros ante la Agencia de Protección de Datos.
Pero hay más formas de incumplir con la ley. Un ejemplo: tengo un responsable de Recursos Humanos que no avisa al posible candidato a ocupar un puesto de que su currículum se va a incluir en un fichero, y que se va a mantener ahí por espacio de tiempo de un año. Ya se está incumpliendo con la LOPD. Y es que además de los aspectos técnicos y legales que implica la ley de protección, gestión y tratamiento de datos, están los meramente organizativos, que suelen ser los más complicados.
Ficheros lógicos
Pero vayamos por pasos. El primero de ellos, según explica Miguel Geijo, asociado de mercantil en Garrigues, es la identificación de todos datos de carácter personal susceptibles de ser tratados por los empleados de la empresa. A partir de ahí, hay que ordenarlos. Pero no de cualquier manera. En ficheros lógicos que, por ejemplo, separen los datos de empleados, candidatos, clientes y target -potenciales clientes-. Ojo, porque hablamos en todo momento de datos de personas físicas; la ley excluye a las jurídicas, esto es, no tenemos por qué incluir a una empresa.
Llega el momento de identificarlos: ver la naturaleza de cada dato (si es de salud, de afiliación sindical, financiero...), el uso que estoy haciendo del mismo y posibles cesiones a terceros.
Ceder referencias a terceros
Este último punto es muy im-portante. Como explica Antonio Sánchez-Crespo López, socio director de Sánchez-Crespo Abogados, hay varios escenarios posibles en los que una empresa cede sus datos a un tercero: pensemos en un servicios de consultoría, una gestoría, una empresa de mantenimiento informático, una asesoría... En este caso, hay que firmar un contrato en el que tiene que quedar constancia de: las instrucciones, los fines concretos para los que se pueden tratar los datos o acceder a los ficheros, prohibición expresa de cederlos a terceros, las medidas de seguridad que tienen que seguir y la necesidad de devolverlos o destruirlos cuando termine la prestación de servicios.
Una vez tenemos los ficheros ordenados hay que determinar las medidas de seguridad que requieren, y si nos basta con un nivel básico, o hay que subir al intermedio o al superior. Por cierto, hay datos, como antecedentes penales, que no se pueden tener. Y entre los que requieren mayor protección: afiliación sindical, datos de salud, creencias religiosas, políticas... Es más, algunos no sólo los regula la LOPD, los sanitarios, por ejemplo, están regulados, además, por la Ley de Autonomía del Paciente. Los financieros y los relativos al mundo de las telecomunicaciones también gozan de regulación específica.
¿Cómo protegerlos? Mediante servicios de backup o copias de seguridad, y con cambios frecuentes (cada 15 días) de las coordenadas de seguridad, si son electrónicos, o directamente restringiendo el acceso físico a los ficheros si éstos son de papel.
Llega el momento de declarar a la agencia de protección de datos los ficheros que tenemos en nuestra posesión e inscribirlos en el Registro general de protección de datos. En 2006, por ejemplo, había más de 815.000 ficheros inscritos.
Inscribirlos equivale a cumplimentar un documento, accesible desde la web de la agencia (programa NOTA) en el que se da cuenta de los datos de la compañía, finalidad de los ficheros, los encargados de su mantenimiento, etc.
Todo este procesos requiere, cómo no, unos gastos para la empresa y puede compensar externalizar a un tercero la elaboración, mantenimiento y actualización de los ficheros. Aunque Sánchez-Crespo habla de "inversión" más que gasto. Entre otros beneficios, destaca que crea seguridad jurídica en el entorno de personas con el que se relaciona la empresa -clientes, proveedores...-. También permite organizar los recursos humanos a través de los perfiles de cada uno, mejora la gestión de seguridad de la información y, cómo no, evita sanciones administrativas.
Fuente: El Economista
Fecha: 04/10/2010
La Agencia de Protección de Datos sancionará al Ayuntamiento de la ciudad del Tajo
La Agencia Española de Protección de Datos considera que el Ayuntamiento de Ronda ha incumplido la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) al consentir la publicación de un parte de novedades de la Policía Local de Ronda, en el que aparecen datos personales del presidente de Nuevas Generaciones del Partido Popular (PP), Ignacio Vega, en 'La Gaceta del Lunes', una publicación que editaba la sociedad Andalusi, S. C. a nombre del alcalde, Antonio Marín, y del ex secretario general del Partido Andalucista (PA), Antonio Pacheco.
Según denunció el concejal popular, Jesús Vázquez, se trata de una propuesta de resolución que ha emitido la Agencia y en la que se señala un infracción grave por parte de la administración municipal, según lo dispuesto en el artículo 10 de la LOPD, en el artículo 44.3 g). A partir de ahora, el Consistorio tendrá un plazo de 15 días para presentar alegaciones antes de que se emita la resolución definitiva. «El Ayuntamiento no ha sabido guardar el secreto al consentir la publicación del documento», dijo Vázquez.
También en los Juzgados
Por otro lado, hay que recordar que el PP también denunció la situación ante los juzgados. Hoy estaba prevista la declaración del alcalde y Pacheco en calidad de imputados por un supuesto delito de revelación de secretos. No obstante, la cita ha sido aplazada. El edil popular dijo: «Marín es hábil y ha convocado pleno ordinario a la misma hora, a las 10.00 horas, en que estaba prevista su declaración». Y continuó: «El secretario del PSOE quiere proponerlo como candidato a la Alcaldía próximamente y no querrá que antes pase por los Juzgados», argumentó. Igualmente, tampoco declarará el concejal de Seguridad Ciudadana, Rafael Lara, por el mismo motivo. En principio, sí se espera que testifiquen Pacheco y el agente de la Policía Local de Ronda que entregó el parte a Lara, aseguraron los populares.
El parte de la Policía Local de Ronda en cuestión fue publicado en pasado 15 de junio de 2009 en 'La Gaceta del Lunes'. El documento recogía el nombre, lugar de residencia, dirección, edad y características del vehículo que conducía el presidente de NN GG del PP. El dirigente popular considera que se ha vulnerado su derecho a la intimidad con fines difamatorios. Los hechos han sido motivo de enfrentamiento entre el equipo de gobierno, compuesto por ediles socialistas y no adscritos, y el PP en la oposición. Esta formación se ha quejado en numerosas ocasiones de la falta de información proporcionada al PP desde el equipo de gobierno, hablando de 'oscurantismo', y para ello es otro ejemplo del tratamiento de la documentación.
Fuente: Diario Sur
Fecha: 24/09/2010
Según denunció el concejal popular, Jesús Vázquez, se trata de una propuesta de resolución que ha emitido la Agencia y en la que se señala un infracción grave por parte de la administración municipal, según lo dispuesto en el artículo 10 de la LOPD, en el artículo 44.3 g). A partir de ahora, el Consistorio tendrá un plazo de 15 días para presentar alegaciones antes de que se emita la resolución definitiva. «El Ayuntamiento no ha sabido guardar el secreto al consentir la publicación del documento», dijo Vázquez.
También en los Juzgados
Por otro lado, hay que recordar que el PP también denunció la situación ante los juzgados. Hoy estaba prevista la declaración del alcalde y Pacheco en calidad de imputados por un supuesto delito de revelación de secretos. No obstante, la cita ha sido aplazada. El edil popular dijo: «Marín es hábil y ha convocado pleno ordinario a la misma hora, a las 10.00 horas, en que estaba prevista su declaración». Y continuó: «El secretario del PSOE quiere proponerlo como candidato a la Alcaldía próximamente y no querrá que antes pase por los Juzgados», argumentó. Igualmente, tampoco declarará el concejal de Seguridad Ciudadana, Rafael Lara, por el mismo motivo. En principio, sí se espera que testifiquen Pacheco y el agente de la Policía Local de Ronda que entregó el parte a Lara, aseguraron los populares.
El parte de la Policía Local de Ronda en cuestión fue publicado en pasado 15 de junio de 2009 en 'La Gaceta del Lunes'. El documento recogía el nombre, lugar de residencia, dirección, edad y características del vehículo que conducía el presidente de NN GG del PP. El dirigente popular considera que se ha vulnerado su derecho a la intimidad con fines difamatorios. Los hechos han sido motivo de enfrentamiento entre el equipo de gobierno, compuesto por ediles socialistas y no adscritos, y el PP en la oposición. Esta formación se ha quejado en numerosas ocasiones de la falta de información proporcionada al PP desde el equipo de gobierno, hablando de 'oscurantismo', y para ello es otro ejemplo del tratamiento de la documentación.
Fuente: Diario Sur
Fecha: 24/09/2010
El PP afirma 'el gobierno municipal siempre actua por detrás de los acontecimientos'
Hace unos días la concejala de Hacienda y Personal del Ayuntamiento Teresa González calificaba como “histórica e importante” la aprobación inicial de la Ordenanza de creación, modificación y supresión de Ficheros de Carácter Personal. El Partido Popular que ya se abstuvo en la aprobación inicial ante la sospecha de una nueva improvisación por parte del gobierno municipal, hubiera aceptado la medida como positiva si la acción se hubiera fraguado en el ámbito de avanzar y no en el de rectificar, como acostumbra el gobierno tripartito.
El tiempo, una vez más, ha dado la razón a los populares cosladeños y ha confirmado sus sospechas al llegar a su poder una Resolución de Procedimiento de Infracción de Administraciones de la Agencia de Protección de datos de la Comunidad de Madrid por el cual se declara que el Ayuntamiento de Coslada ha vulnerado lo previsto en el artículo 20 de la LOPD, incurriendo de esta manera en una sanción grave.
La denuncia tiene su génesis cuando un comerciante de Coslada tuvo un percance con un cliente en su establecimiento. Al local acudieron dos agentes la Policía Local a solicitud del cliente y presuntamente en un clima de coacciones y amenazas, la dependienta facilitó los datos personales y del empresario a los policías, y éstos sin dar cumplimiento a las obligaciones previstas en la LOPD, supuestamente proporcionaron los datos personales de la empleada y el gerente del establecimiento a terceras personas sin su consentimiento.
Tras un cruce de denuncias y requerimientos, en donde el empresario expresa su deseo cancelar sus datos, ya que tras varios intentos por comprobar su inscripción en un fichero relacionado con la Policía Local de Coslada, y descubrir que no existía, se ha Resuelto por fin la causa a favor del empresario, ya que la actuación de los policías vulnera el artículo 12 del Real Decreto 172/2007 al no solicitar su consentimiento en la cesión de sus datos a OMIC, al Juzgado, a Urbanismo de Coslada y al consumidor.
A raíz de este suceso, es decir a la fecha de inicio de Procedimiento de Infracción de la Administración Publica se comprueba que no constaba en el Registro de Ficheros de Datos de Carácter Personal de la Agencia de Protección de Datos de la Comunidad de Madrid, ninguno de Datos Personales relacionado en la actividad desarrollada por la Policía Local del Ayuntamiento de Coslada, teniendo el Consistorio, que crear inicialmente la Ordenanza de Creación, Modificación y Supresión de Ficheros que contengan datos de Carácter Personal, entre los que se encuentra el denominado Fichero de Gestión de Actividades Policiales.
“Lo más indignante es el ya insufrible proceder de un Alcalde que solo se acuerda de Santa Bárbara cuando truena y que cuando se vanagloria de algo es porque se aflige de algún nefasto acontecimiento, como pasó en referencia a los colectores. Viveros, antes de las inundaciones que ocasionaron en Coslada importantes daños personales y materiales no había ordenado limpiar las alcantarillas, al igual que tampoco echa la sal suficiente hasta el quinto día de nevadas”, señaló el presidente de los populares cosladeños, Raúl López.
Para finalizar, “ha tenido que incurrir en el seno del Ayuntamiento un presunto delito de vulnerabilidad de Datos de Carácter Personal a un empresario del municipio para llevar adelante la iniciativa de la creación de la Ordenanza, en un ambiente taimado para disimular que la Policía Local de Coslada no disponía de un fichero de Datos, lo exponen con carácter presuroso antes de que este vecino que ha denunciado al Consistorio traslade a los medios la sentencia a su favor”, indicó López.
Fuente: Estedemadrid
Fecha: 23/09/2010
El tiempo, una vez más, ha dado la razón a los populares cosladeños y ha confirmado sus sospechas al llegar a su poder una Resolución de Procedimiento de Infracción de Administraciones de la Agencia de Protección de datos de la Comunidad de Madrid por el cual se declara que el Ayuntamiento de Coslada ha vulnerado lo previsto en el artículo 20 de la LOPD, incurriendo de esta manera en una sanción grave.
La denuncia tiene su génesis cuando un comerciante de Coslada tuvo un percance con un cliente en su establecimiento. Al local acudieron dos agentes la Policía Local a solicitud del cliente y presuntamente en un clima de coacciones y amenazas, la dependienta facilitó los datos personales y del empresario a los policías, y éstos sin dar cumplimiento a las obligaciones previstas en la LOPD, supuestamente proporcionaron los datos personales de la empleada y el gerente del establecimiento a terceras personas sin su consentimiento.
Tras un cruce de denuncias y requerimientos, en donde el empresario expresa su deseo cancelar sus datos, ya que tras varios intentos por comprobar su inscripción en un fichero relacionado con la Policía Local de Coslada, y descubrir que no existía, se ha Resuelto por fin la causa a favor del empresario, ya que la actuación de los policías vulnera el artículo 12 del Real Decreto 172/2007 al no solicitar su consentimiento en la cesión de sus datos a OMIC, al Juzgado, a Urbanismo de Coslada y al consumidor.
A raíz de este suceso, es decir a la fecha de inicio de Procedimiento de Infracción de la Administración Publica se comprueba que no constaba en el Registro de Ficheros de Datos de Carácter Personal de la Agencia de Protección de Datos de la Comunidad de Madrid, ninguno de Datos Personales relacionado en la actividad desarrollada por la Policía Local del Ayuntamiento de Coslada, teniendo el Consistorio, que crear inicialmente la Ordenanza de Creación, Modificación y Supresión de Ficheros que contengan datos de Carácter Personal, entre los que se encuentra el denominado Fichero de Gestión de Actividades Policiales.
“Lo más indignante es el ya insufrible proceder de un Alcalde que solo se acuerda de Santa Bárbara cuando truena y que cuando se vanagloria de algo es porque se aflige de algún nefasto acontecimiento, como pasó en referencia a los colectores. Viveros, antes de las inundaciones que ocasionaron en Coslada importantes daños personales y materiales no había ordenado limpiar las alcantarillas, al igual que tampoco echa la sal suficiente hasta el quinto día de nevadas”, señaló el presidente de los populares cosladeños, Raúl López.
Para finalizar, “ha tenido que incurrir en el seno del Ayuntamiento un presunto delito de vulnerabilidad de Datos de Carácter Personal a un empresario del municipio para llevar adelante la iniciativa de la creación de la Ordenanza, en un ambiente taimado para disimular que la Policía Local de Coslada no disponía de un fichero de Datos, lo exponen con carácter presuroso antes de que este vecino que ha denunciado al Consistorio traslade a los medios la sentencia a su favor”, indicó López.
Fuente: Estedemadrid
Fecha: 23/09/2010
Multa record en Inglaterra por perdida de datos
A finales del pasado mes de Agosto el regulador británico de los mercados, Financial Services Authority (FSA), anuncio la multa impuesta a la filial inglesa de la aseguradora Zurich Financial Services por la perdida de datos personales de sus clientes que asciende hasta la cantidad de 2,28 millones de libras (2,8 millones de euros).
La aseguradora Zurich UK delegó la gestión informática de sus ficheros de clientes a la filial sudafricana del grupo, pero ésta perdió en agosto de 2008 un archivo no encriptado que concernía a 46.000 clientes durante una transferencia de datos a un centro de almacenamiento. Entre los datos perdidos figuran datos bancarios, códigos de tarjetas de crédito e informaciones sobre los bienes asegurados y sus métodos de protección. Además, Zurich UK no fue informada de la pérdida del fichero en Sudáfrica hasta un año después de los hechos.
Esta es la mayor multa impuesta en Gran Bretaña por un incidente relativo a la protección de datos de carácter personal. La FSA acusa a la aseguradora de falta de rigor a la hora de proteger los datos de sus clientes y espera que sirva de ejemplo para el resto de las empresas.
La multa se vio reducida en un 30% debido a que la aseguradora colaboro en todo momento con las autoridades en la investigación de los hechos ya que la sanción inicial era de 3,25 millones de libras (unos 4 millones de euros)
Fuente: Google
Fecha: 16/09/2010
La aseguradora Zurich UK delegó la gestión informática de sus ficheros de clientes a la filial sudafricana del grupo, pero ésta perdió en agosto de 2008 un archivo no encriptado que concernía a 46.000 clientes durante una transferencia de datos a un centro de almacenamiento. Entre los datos perdidos figuran datos bancarios, códigos de tarjetas de crédito e informaciones sobre los bienes asegurados y sus métodos de protección. Además, Zurich UK no fue informada de la pérdida del fichero en Sudáfrica hasta un año después de los hechos.
Esta es la mayor multa impuesta en Gran Bretaña por un incidente relativo a la protección de datos de carácter personal. La FSA acusa a la aseguradora de falta de rigor a la hora de proteger los datos de sus clientes y espera que sirva de ejemplo para el resto de las empresas.
La multa se vio reducida en un 30% debido a que la aseguradora colaboro en todo momento con las autoridades en la investigación de los hechos ya que la sanción inicial era de 3,25 millones de libras (unos 4 millones de euros)
Fuente: Google
Fecha: 16/09/2010
Paciente denuncia hospital por ingresar con fiebre y salir sin pies ni manos
Una joven de 25 años, L.F.F., vecina de La Roda (Albacete), ha interpuesto una denuncia contra el Hospital de Albacete después de que en 2007 ingresase en dicho centro con mal estado general, fiebre y disnea, y saliera de éste sin piernas ni manos, tras haber recibido un tratamiento de "altas dosis de drogas vasoconstrictoras durante al menos 9 días".
Así consta en la denuncia remitida a EFE desde el Defensor del Paciente, en la que se detalla que ésta fue interpuesta ayer en los juzgados albaceteños.
La paciente ha lamentado que desde el Complejo Hospitalario de Albacete no le haya sido facilitado su expediente completo y exige que se investigue "con la historia clínica completa, si el origen de sus lesiones está en una mal praxis médica y que, en tal caso, se deriven las consecuencias que establece la ley".
La joven, madre de cuatro hijos sanos, ingresó en urgencias del Hospital de Albacete el 12 de noviembre de 2007 por los síntomas antes citados y fue valorada por los servicios de Ginecología, ya que acababa de dar a luz, y por Medicina Interna.
Estando en Urgencias, la paciente empeoró bruscamente y, tras las oportunas pruebas, se le diagnosticó, siempre según la denuncia, "una sepsis por streptococo pyógenes, por el que entra en shock séptico y por el que se le administran altas dosis de drogas vasoconstrictoras durante al menos nueve días".
En el comunicado del Defensor del Paciente, se indica que, "como consecuencia de la administración masiva de estos fármacos, presentó isquemia y necrosis profunda en miembros inferiores y superiores, por los que se procede a la amputación de ambas manos y piernas".
Asimismo se indica que, tras largos periodos de rehabilitación, en estos momentos la paciente está siendo tratada por el Servicio de Traumatología del hospital madrileño de La Paz, "para ser sometida a una compleja y pionera intervención plástica para aminorar sus secuelas".
Con objeto de estudiar los hechos descritos, la denunciante, a través de su letrado, solicitó por fax, el pasado 2 de junio, a la dirección del Complejo Hospitalario de Albacete una copia íntegra de su historia clínica, en ejercicio de los derechos que le otorga la Ley 41 de 2002 y la LOPD 15/99, no recibiendo respuesta oficial del hospital hasta el pasado 27 de julio.
Sin embargo, en dicha respuesta se aporta una pequeña parte de la historia (análisis clínicos), ya que, "a pesar de múltiples gestiones con los servicios clínicos y el archivo central, no nos ha sido posible localizar el resto de la historia clínica, que se encuentra extraviada", según se expone en el comunicado que la paciente recibió por parte del Hospital y que también se adjunta en la denuncia.
Desde el Defensor del Paciente lamentan que, como consecuencia de estos hechos, la denunciante padece "gravísimas lesiones por amputación" y que no hay duda de que dichas lesiones, "según consta en el mismo informe del complejo hospitalario, tienen relación con la administración masiva de noradrenalina".
Y critican también el hecho de que "la parte fundamental de la historia clínica, que ha de servir de base para un estudio pericial del caso, se encuentre extraviada".
También consideran que, "ante un resultado tan impresionante e inusual de su proceso médico (amputación de los cuatro miembros), la denunciante tiene derecho a que se investigue con la historia clínica completa si el origen de sus lesiones está en una mal praxis médica y que, en tal caso, se deriven las consecuencias que establece la Ley"
Fuente: La Verdad
Fecha: 17/09/2010
Así consta en la denuncia remitida a EFE desde el Defensor del Paciente, en la que se detalla que ésta fue interpuesta ayer en los juzgados albaceteños.
La paciente ha lamentado que desde el Complejo Hospitalario de Albacete no le haya sido facilitado su expediente completo y exige que se investigue "con la historia clínica completa, si el origen de sus lesiones está en una mal praxis médica y que, en tal caso, se deriven las consecuencias que establece la ley".
La joven, madre de cuatro hijos sanos, ingresó en urgencias del Hospital de Albacete el 12 de noviembre de 2007 por los síntomas antes citados y fue valorada por los servicios de Ginecología, ya que acababa de dar a luz, y por Medicina Interna.
Estando en Urgencias, la paciente empeoró bruscamente y, tras las oportunas pruebas, se le diagnosticó, siempre según la denuncia, "una sepsis por streptococo pyógenes, por el que entra en shock séptico y por el que se le administran altas dosis de drogas vasoconstrictoras durante al menos nueve días".
En el comunicado del Defensor del Paciente, se indica que, "como consecuencia de la administración masiva de estos fármacos, presentó isquemia y necrosis profunda en miembros inferiores y superiores, por los que se procede a la amputación de ambas manos y piernas".
Asimismo se indica que, tras largos periodos de rehabilitación, en estos momentos la paciente está siendo tratada por el Servicio de Traumatología del hospital madrileño de La Paz, "para ser sometida a una compleja y pionera intervención plástica para aminorar sus secuelas".
Con objeto de estudiar los hechos descritos, la denunciante, a través de su letrado, solicitó por fax, el pasado 2 de junio, a la dirección del Complejo Hospitalario de Albacete una copia íntegra de su historia clínica, en ejercicio de los derechos que le otorga la Ley 41 de 2002 y la LOPD 15/99, no recibiendo respuesta oficial del hospital hasta el pasado 27 de julio.
Sin embargo, en dicha respuesta se aporta una pequeña parte de la historia (análisis clínicos), ya que, "a pesar de múltiples gestiones con los servicios clínicos y el archivo central, no nos ha sido posible localizar el resto de la historia clínica, que se encuentra extraviada", según se expone en el comunicado que la paciente recibió por parte del Hospital y que también se adjunta en la denuncia.
Desde el Defensor del Paciente lamentan que, como consecuencia de estos hechos, la denunciante padece "gravísimas lesiones por amputación" y que no hay duda de que dichas lesiones, "según consta en el mismo informe del complejo hospitalario, tienen relación con la administración masiva de noradrenalina".
Y critican también el hecho de que "la parte fundamental de la historia clínica, que ha de servir de base para un estudio pericial del caso, se encuentre extraviada".
También consideran que, "ante un resultado tan impresionante e inusual de su proceso médico (amputación de los cuatro miembros), la denunciante tiene derecho a que se investigue con la historia clínica completa si el origen de sus lesiones está en una mal praxis médica y que, en tal caso, se deriven las consecuencias que establece la Ley"
Fuente: La Verdad
Fecha: 17/09/2010
El Ayuntamiento denuncia a los independientes por difundir en su web datos personales
El Ayuntamiento de Gerena ha presentado una denuncia contra el grupo político Independientes por Gerena (IPGE) ante la Agencia Española de Protección de Datos por difundir en su página web las actas de las reuniones de la junta de gobierno local. La denuncia institucional obedece al presunto incumplimiento de la normativa que regula la protección de datos de carácter personal.
Según ha explicado el Consistorio, hace varios meses que los independientes incluyeron en su sitio web las actas de las sesiones quincenales de la junta de gobierno, a las que los concejales de este grupo político tienen acceso en virtud de su cargo. Sin embargo, los ediles no pueden difundirlas, ya que las citadas actas están consideras por Ley no públicas.
La decisión de presentar la denuncia se produce después de recibir el informe elaborado por el gabinete jurídico de la propia Agencia Española de Protección de Datos, a raíz de la consulta que el Ayuntamiento le formuló el pasado julio.
El equipo de gobierno entiende que los datos y referencias personales contenidas en las actas no pueden utilizarse para una finalidad distinta para la que fueron facilitadas, si no es con permiso expreso de cada persona física.
Como prueba de la denuncia, el Ayuntamiento ha proporcionado a la Agencia numerosos pantallazos tomados de la página web de Independientes por Gerena, En ellos se aprecian datos de carácter personal que la Ley prohíbe difundir.
Fuente: El Mundo
Fecha: 08/09/2010
Según ha explicado el Consistorio, hace varios meses que los independientes incluyeron en su sitio web las actas de las sesiones quincenales de la junta de gobierno, a las que los concejales de este grupo político tienen acceso en virtud de su cargo. Sin embargo, los ediles no pueden difundirlas, ya que las citadas actas están consideras por Ley no públicas.
La decisión de presentar la denuncia se produce después de recibir el informe elaborado por el gabinete jurídico de la propia Agencia Española de Protección de Datos, a raíz de la consulta que el Ayuntamiento le formuló el pasado julio.
El equipo de gobierno entiende que los datos y referencias personales contenidas en las actas no pueden utilizarse para una finalidad distinta para la que fueron facilitadas, si no es con permiso expreso de cada persona física.
Como prueba de la denuncia, el Ayuntamiento ha proporcionado a la Agencia numerosos pantallazos tomados de la página web de Independientes por Gerena, En ellos se aprecian datos de carácter personal que la Ley prohíbe difundir.
Fuente: El Mundo
Fecha: 08/09/2010
Sube un 800% las denuncias por el uso indebido de datos personales
Señor que solicita la baja en una compañía de teléfonos. Señor que no lo consigue a la primera, a la segunda ni a la tercera. Señor que, con enfado mayúsculo, ordena al banco que no le cobren más recibos. Señor que es incluido en una lista de morosos. Es el ejemplo 'de libro' que suele ocasionar reclamaciones, que muchas veces terminan en fuertes sanciones, ante la Agencia Española de Protección de Datos (AEPD). ¿El motivo? Que nadie está facultado para proporcionar las referencias de un abonado que supuestamente no ha pagado si éste no reconoce previamente la deuda -amén de otra serie de requisitos que se suelen 'olvidar' con relativa frecuencia-.
La cuestión es que por conflictos como éste, pero también por otros muchos como la difusión de información sensible a través de internet o la videovigilancia, el número de denuncias gestionadas por la AEPD en la provincia se está incrementando de forma exponencial. No hay más que echar un vistazo a las memorias anuales que elabora esta institución para comprobarlo. En 2007 se registraron 12, en 2008 la cifra bajó hasta 4, pero es que en 2009 se contabilizaron 37. Es decir, estamos hablando de un incremento del 825 por ciento en términos relativos. Algo, evidentemente, está pasando.
Y lo que está ocurriendo, a juicio de Tomás Galera, experto del Grupo DTM Consulting, una de las asesorías de referencia en la comunidad autónoma andaluza sobre esta materia, es que «el uso generalizado de las nuevas tecnologías de la información está propiciando un mayor número de canales por los que se pueden 'escapar' datos que siempre, sin excepción, deben estar a buen recaudo y requieren de la autorización expresa del interesado para su transferencia o divulgación». A juicio de Galera, «a este factor habría que agregar otro tanto o más importante, la expansión comercial y la necesidad de captar nuevos clientes de una forma rápida y directa».
«También es cierto -añade- que existe una mayor sensibilidad hacia este tipo de temas, algo que ha sido posible gracias a campañas como la realizada por la AEPD, que ha hecho que muchos negocios se tomen este asunto muy en serio ante la posibilidad de que, en caso de incurrir en alguna ilegalidad, tener que afrontar multas que pueden oscilar entre los 600 y los 60.000 euros si son leves y entre los 300 y los 600.000 euros sin son muy graves -las 'graves' van de los 60.000 a los 300.000 euros-.
«Nosotros trabajamos con las empresas, a las que orientamos en la implantación de sistemas para la correcta manipulación de los ficheros y también ayudamos con los expedientes, realizando las reclamaciones que se consideren oportunas», dice Galera.
Fuente: Ideal
Fecha: 02/09/2010
La cuestión es que por conflictos como éste, pero también por otros muchos como la difusión de información sensible a través de internet o la videovigilancia, el número de denuncias gestionadas por la AEPD en la provincia se está incrementando de forma exponencial. No hay más que echar un vistazo a las memorias anuales que elabora esta institución para comprobarlo. En 2007 se registraron 12, en 2008 la cifra bajó hasta 4, pero es que en 2009 se contabilizaron 37. Es decir, estamos hablando de un incremento del 825 por ciento en términos relativos. Algo, evidentemente, está pasando.
Y lo que está ocurriendo, a juicio de Tomás Galera, experto del Grupo DTM Consulting, una de las asesorías de referencia en la comunidad autónoma andaluza sobre esta materia, es que «el uso generalizado de las nuevas tecnologías de la información está propiciando un mayor número de canales por los que se pueden 'escapar' datos que siempre, sin excepción, deben estar a buen recaudo y requieren de la autorización expresa del interesado para su transferencia o divulgación». A juicio de Galera, «a este factor habría que agregar otro tanto o más importante, la expansión comercial y la necesidad de captar nuevos clientes de una forma rápida y directa».
«También es cierto -añade- que existe una mayor sensibilidad hacia este tipo de temas, algo que ha sido posible gracias a campañas como la realizada por la AEPD, que ha hecho que muchos negocios se tomen este asunto muy en serio ante la posibilidad de que, en caso de incurrir en alguna ilegalidad, tener que afrontar multas que pueden oscilar entre los 600 y los 60.000 euros si son leves y entre los 300 y los 600.000 euros sin son muy graves -las 'graves' van de los 60.000 a los 300.000 euros-.
«Nosotros trabajamos con las empresas, a las que orientamos en la implantación de sistemas para la correcta manipulación de los ficheros y también ayudamos con los expedientes, realizando las reclamaciones que se consideren oportunas», dice Galera.
Fuente: Ideal
Fecha: 02/09/2010
Crece el número de personas incluidas en ficheros de morosos de forma irregular
Si bien es cierto que, según ASNEF, la morosidad en los préstamos al consumo representa el 20% del total, con motivo de la crisis financiera y del aumento del paro, se han detectado casos en los que, de forma irregular, se han incluido o se mantienen a las personas en los ficheros de morosos de ASNEF-EQUIFAX, RAI o EXPERIAN-BADEXCUG.
Es habitual que una deuda ya abonada a una compañía telefónica, bancaria o financiera no inicie un trámite para ser eliminada del fichero y sea el propio interesado quien tenga que solicitarlo cuando se da cuenta o alguna entidad financiera se lo indica, pasando a ser dudoso para esa entidad.
No haber abonado alguna vez una deuda, una factura, una penalización por permanencia o no haber devuelto un decodificador digital son causas por las que muchos ciudadanos, sin saberlo, son incluidos en los ficheros de morosos.
La Agencia Española de Protección de Datos ha impuesto una gran cantidad de condenas por prácticas similares, no sólo a entindades financieras, sino a las compañías telefónicas y de televisión digital.
Los ciudadanos tienen derecho a acceder, cancelar o modificar los datos que aparecen en las listas de morosos, además de ser una práctica recomendable con el fin de evitar sorpresas. Las bases de datos más conocidas son ASNEF, RAI y EXPERIAN y pueden ser consultadas o modificadas a través de webs como www.ficherodemorosos.es o www. infomorosos.es
Fuente: aDN
Fecha: 26/10/2010
Es habitual que una deuda ya abonada a una compañía telefónica, bancaria o financiera no inicie un trámite para ser eliminada del fichero y sea el propio interesado quien tenga que solicitarlo cuando se da cuenta o alguna entidad financiera se lo indica, pasando a ser dudoso para esa entidad.
No haber abonado alguna vez una deuda, una factura, una penalización por permanencia o no haber devuelto un decodificador digital son causas por las que muchos ciudadanos, sin saberlo, son incluidos en los ficheros de morosos.
La Agencia Española de Protección de Datos ha impuesto una gran cantidad de condenas por prácticas similares, no sólo a entindades financieras, sino a las compañías telefónicas y de televisión digital.
Los ciudadanos tienen derecho a acceder, cancelar o modificar los datos que aparecen en las listas de morosos, además de ser una práctica recomendable con el fin de evitar sorpresas. Las bases de datos más conocidas son ASNEF, RAI y EXPERIAN y pueden ser consultadas o modificadas a través de webs como www.ficherodemorosos.es o www. infomorosos.es
Fuente: aDN
Fecha: 26/10/2010
La Agencia de Protección de Datos sanciona a la SGAE por cámaras de video
La Agencia Española de Protección de Datos ha sancionado con 30.000 euros a la Sociedad General de Autores y Editores (SGAE), por irregularidades en la instalación de cámaras de vídeovigilancia en su sede de Santiago de Compostela, según ha informado hoy el Movimiento por los Derechos Civiles (MpDC).
La asociación recuerda en un comunicado que había presentado la denuncia hace año y medio y que la agencia ha entendido que el enfoque de las cámaras supone una infracción grave a la Ley orgánica de Protección de Datos.
Fuentes del Movimiento valoraron a Efe esta sanción, aunque agregaron que la cantidad de la multa no va a crear una gran preocupación a una entidad como la SGAE.
También comentaron que las cámaras objeto de esta sanción, como en otros casos en que han presentado denuncia, fueron instaladas por empresas especializadas, que conocen la legislación y deben informar a sus clientes.
Explicaron que esta situación se da también en numerosas instituciones, como los Ayuntamientos de A Coruña o Santiago, o entidades de la Xunta y de la propia administración central.
El MpDC resalta que, además, estas instituciones públicas no son sancionadas, como debían, sino que la Agencia Española de Protección de Datos sólo les avisa para que procedan a la corrección de las irregularidades.
Fuente: ABC
Fecha: 25/10/2010
La asociación recuerda en un comunicado que había presentado la denuncia hace año y medio y que la agencia ha entendido que el enfoque de las cámaras supone una infracción grave a la Ley orgánica de Protección de Datos.
Fuentes del Movimiento valoraron a Efe esta sanción, aunque agregaron que la cantidad de la multa no va a crear una gran preocupación a una entidad como la SGAE.
También comentaron que las cámaras objeto de esta sanción, como en otros casos en que han presentado denuncia, fueron instaladas por empresas especializadas, que conocen la legislación y deben informar a sus clientes.
Explicaron que esta situación se da también en numerosas instituciones, como los Ayuntamientos de A Coruña o Santiago, o entidades de la Xunta y de la propia administración central.
El MpDC resalta que, además, estas instituciones públicas no son sancionadas, como debían, sino que la Agencia Española de Protección de Datos sólo les avisa para que procedan a la corrección de las irregularidades.
Fuente: ABC
Fecha: 25/10/2010
Protección de Datos abre un proceso sancionador contra Google
La Agencia de Protección de Datos española ha abierto un procedimiento sancionador contra Google a raíz de detectarse que los coches de su callejero virtual Street View captaban datos de las redes wifi privadas accesibles desde las calles por donde circulaban. La apertura del procedimiento sancionador se produce tras constatar la existencia de indicios de la comisión de dos infracciones graves y tres muy graves de la ley de protección de datos, como la captación y almacenamiento de datos personales sin consentimiento.
La agencia afirma en un comunicado que se ha verificado la captación de datos de localización de redes wifi con identificación de sus titulares, y de datos personales de diversa naturaleza del contenido de las comunicaciones como: direcciones de correo electrónico -con nombre y apellidos-, mensajes asociados a dichas cuentas y servicios de mensajería, o códigos de usuario y contraseñas, entre otros. Y que estos datos se han transferido por parte de Google a EE UU sin garantías de protección de la privacidad. La AEPD ha dado traslado al Juzgado de Instrucción Nº 45 de Madrid del informe final de la inspección, y, conforme a la legislación de Procedimiento Administrativo, suspende la tramitación del expediente sancionador hasta la resolución del órgano judicial.
Las inspecciones las inició la agencia en mayo de este año. La apertura del procedimiento sancionador por parte de la Agencia Española de Protección de Datos se produce tras finalizar las investigaciones realizadas por la inspección de la AEPD que han permitido constatar la existencia de indicios de la comisión de un total de cinco infracciones. Dos de ellas son imputables a Google Inc., como responsable del diseño del programa de recogida de datos y del servicio. Las otras tres se imputan a Google España, como responsable de la captación de datos en calles españolas y su transferencia a EE UU.
Entre la tipología de datos personales transmitidos mediante redes wifi, la AEPD "ha constatado la captación y almacenamiento por Google de direcciones de correo electrónico con nombre y apellidos; direcciones y cuentas asociadas a mensajes de correo o mensajería instantánea; accesos a cuentas de redes sociales y sitios web, o códigos de usuario y contraseña con datos personales que identifican a sus titulares, y que en algunos casos permiten el acceso a datos especialmente protegidos, entre otros. Asimismo, se ha constatado la recopilación por parte de Google de datos de localización e identificación de las redes inalámbricas como los SSID, - identificadores o nombres de la red wifi- que en algunos contienen el nombre real del abonado de la red, y las direcciones MAC -que identifican a los dispositivos router y los dispositivos conectados a ella- y la posición geográfica en la que éstas fueron captadas".
Las infracciones graves pueden ser penalizadas con multas que van de los 60.000 a los 300.000 euros. Las muy graves pueden ser castigadas con multas de 300.000 a 600.000 euros.
Google ha emitido un comunicado en el que responde a la Agencia Española de Protección de Datos en que lamenta "profundamente haber recogido datos en España. Estos datos no han sido utilizados de ninguna forma en ningún producto de Google y la compañía nunca pretendió utilizarlos de ninguna manera. Es importante recordar que, por lo general, sólo se captaron fragmentos de datos: nuestros coches están en movimiento y nuestro equipo WiFi a bordo cambia automáticamente los canales cinco veces por segundo aproximadamente. Asimismo, la Fiscalía de la Audiencia Provincial de Guipúzcoa ha archivado recientemente su investigación en relación con la recogida de datos de redes WiFi en España. En su decisión se mencionaba que la captación de información fue aleatoria y fragmentaria y nunca ha sido utilizada en ningún producto de Google".
Una vez que recaiga resolución judicial, la Agencia Española de Protección de Datos reanudará el procedimiento administrativo en la fase de instrucción del mismo, en la que la compañía contará con un plazo para formular alegaciones o presentar pruebas, antes de que el organismo resuelva la comisión de infracciones de la LOPD, la tipificación de las mismas.
El caso Street View en España ha sido investigado por la fiscalía de Guipúzcoa que lo archivó al considerar que con los datos recogidos, muy fragmentarios, la empresa no había hecho ningún uso comercial de los mismos. Sin embargo, sigue vive una demanda en un juzgado de Madrid donde los responsables de Google España deberán comparecer como imputados para declarar en el mismo.
Fuente: El País
Fecha: 18/10/2010
La agencia afirma en un comunicado que se ha verificado la captación de datos de localización de redes wifi con identificación de sus titulares, y de datos personales de diversa naturaleza del contenido de las comunicaciones como: direcciones de correo electrónico -con nombre y apellidos-, mensajes asociados a dichas cuentas y servicios de mensajería, o códigos de usuario y contraseñas, entre otros. Y que estos datos se han transferido por parte de Google a EE UU sin garantías de protección de la privacidad. La AEPD ha dado traslado al Juzgado de Instrucción Nº 45 de Madrid del informe final de la inspección, y, conforme a la legislación de Procedimiento Administrativo, suspende la tramitación del expediente sancionador hasta la resolución del órgano judicial.
Las inspecciones las inició la agencia en mayo de este año. La apertura del procedimiento sancionador por parte de la Agencia Española de Protección de Datos se produce tras finalizar las investigaciones realizadas por la inspección de la AEPD que han permitido constatar la existencia de indicios de la comisión de un total de cinco infracciones. Dos de ellas son imputables a Google Inc., como responsable del diseño del programa de recogida de datos y del servicio. Las otras tres se imputan a Google España, como responsable de la captación de datos en calles españolas y su transferencia a EE UU.
Entre la tipología de datos personales transmitidos mediante redes wifi, la AEPD "ha constatado la captación y almacenamiento por Google de direcciones de correo electrónico con nombre y apellidos; direcciones y cuentas asociadas a mensajes de correo o mensajería instantánea; accesos a cuentas de redes sociales y sitios web, o códigos de usuario y contraseña con datos personales que identifican a sus titulares, y que en algunos casos permiten el acceso a datos especialmente protegidos, entre otros. Asimismo, se ha constatado la recopilación por parte de Google de datos de localización e identificación de las redes inalámbricas como los SSID, - identificadores o nombres de la red wifi- que en algunos contienen el nombre real del abonado de la red, y las direcciones MAC -que identifican a los dispositivos router y los dispositivos conectados a ella- y la posición geográfica en la que éstas fueron captadas".
Las infracciones graves pueden ser penalizadas con multas que van de los 60.000 a los 300.000 euros. Las muy graves pueden ser castigadas con multas de 300.000 a 600.000 euros.
Google ha emitido un comunicado en el que responde a la Agencia Española de Protección de Datos en que lamenta "profundamente haber recogido datos en España. Estos datos no han sido utilizados de ninguna forma en ningún producto de Google y la compañía nunca pretendió utilizarlos de ninguna manera. Es importante recordar que, por lo general, sólo se captaron fragmentos de datos: nuestros coches están en movimiento y nuestro equipo WiFi a bordo cambia automáticamente los canales cinco veces por segundo aproximadamente. Asimismo, la Fiscalía de la Audiencia Provincial de Guipúzcoa ha archivado recientemente su investigación en relación con la recogida de datos de redes WiFi en España. En su decisión se mencionaba que la captación de información fue aleatoria y fragmentaria y nunca ha sido utilizada en ningún producto de Google".
Una vez que recaiga resolución judicial, la Agencia Española de Protección de Datos reanudará el procedimiento administrativo en la fase de instrucción del mismo, en la que la compañía contará con un plazo para formular alegaciones o presentar pruebas, antes de que el organismo resuelva la comisión de infracciones de la LOPD, la tipificación de las mismas.
El caso Street View en España ha sido investigado por la fiscalía de Guipúzcoa que lo archivó al considerar que con los datos recogidos, muy fragmentarios, la empresa no había hecho ningún uso comercial de los mismos. Sin embargo, sigue vive una demanda en un juzgado de Madrid donde los responsables de Google España deberán comparecer como imputados para declarar en el mismo.
Fuente: El País
Fecha: 18/10/2010
Multa de 60.000 € a Ono por facilitar la clave del email de un cliente a un tercero
Ono ha sido sancionada por la Agencia Española de Protección de Datos a pagar una multa de 60.101,21€ por vulnerar de forma grave el principio de seguridad de los datos, ya que dieron la contraseña de una cuenta de correo a un tercero.
La historia es bastante rocambolesca y viene de la adquisición de otras empresas de cable por parte de Ono.
Dos clientes, una cuenta de correo
El denunciante, ante la petición de la operadora, creó una nueva cuenta de correo ya que la que utilizaba estaba a punto de expirar, para luego vincular la vieja a la nueva mediante el uso del servicio "Pasaporte Ono".
Sin embargo, una vez dada de alta la nueva cuenta y vinculada el 18 de agosto de 2008 tras llamar al servicio de atención al cliente de Ono, empezó a recibir correos electrónicos dirigidos a otra persona con la que compartía apellido, como si la dirección estuviese duplicada. Lo que sucedía, era que esa cuenta había sido creada por otra persona en el año 2001, que también detectó "fenómenos extraños".
Otra vez el denunciante se puso en contacto el 21 de agosto de 2008 para que se cambiara la contraseña de acceso a la dirección de correo electrónico tras identificarse con su número de DNI, algo que no debió suceder ya que en el fichero de la operadora no constaba como cliente titular de la cuenta. Después de esto, el cliente original de la dirección, obviamente, no pudo acceder a su e-mail.
Cambiaron la titularidad de la cuenta
A posteriori, se modificó el identificador de cliente asociado a la cuenta de correo, que pasó a ser propiedad del denunciante en lugar del cliente original. Además, cuando ambas personas se ponían en contacto con Ono por problemas, se les daba una contraseña genérica idéntica sin percatarse de que, a pesar de que se identificaban con el número de DNI, eran en realidad clientes distintos.
Por lo tanto, Cableuropa vulneró el principio de seguridad de los datos, ya que al poder acceder el denunciante a la cuenta de correo del cliente, las medidas para preservar los datos personales de los clientes no fueron adoptadas en su totalidad.
Además, al proporcionar la misma contraseña a ambas personas, Cableuropa no respetó la obligación de secreto garantizado, ya que uno podía acceder a las comunicaciones del otro, y viceversa.
Con todo, la AEPD ha impuesto a Cableuropa la multa ya mencionada anteriormente de 60.101,21€ por infringir el artículo 9 de la LOPD, que se define como grave en el artículo 44.3.h) de la misma ley.
Fuente: Bandaancha
Fecha: 14/10/2010
La historia es bastante rocambolesca y viene de la adquisición de otras empresas de cable por parte de Ono.
Dos clientes, una cuenta de correo
El denunciante, ante la petición de la operadora, creó una nueva cuenta de correo ya que la que utilizaba estaba a punto de expirar, para luego vincular la vieja a la nueva mediante el uso del servicio "Pasaporte Ono".
Sin embargo, una vez dada de alta la nueva cuenta y vinculada el 18 de agosto de 2008 tras llamar al servicio de atención al cliente de Ono, empezó a recibir correos electrónicos dirigidos a otra persona con la que compartía apellido, como si la dirección estuviese duplicada. Lo que sucedía, era que esa cuenta había sido creada por otra persona en el año 2001, que también detectó "fenómenos extraños".
Otra vez el denunciante se puso en contacto el 21 de agosto de 2008 para que se cambiara la contraseña de acceso a la dirección de correo electrónico tras identificarse con su número de DNI, algo que no debió suceder ya que en el fichero de la operadora no constaba como cliente titular de la cuenta. Después de esto, el cliente original de la dirección, obviamente, no pudo acceder a su e-mail.
Cambiaron la titularidad de la cuenta
A posteriori, se modificó el identificador de cliente asociado a la cuenta de correo, que pasó a ser propiedad del denunciante en lugar del cliente original. Además, cuando ambas personas se ponían en contacto con Ono por problemas, se les daba una contraseña genérica idéntica sin percatarse de que, a pesar de que se identificaban con el número de DNI, eran en realidad clientes distintos.
Por lo tanto, Cableuropa vulneró el principio de seguridad de los datos, ya que al poder acceder el denunciante a la cuenta de correo del cliente, las medidas para preservar los datos personales de los clientes no fueron adoptadas en su totalidad.
Además, al proporcionar la misma contraseña a ambas personas, Cableuropa no respetó la obligación de secreto garantizado, ya que uno podía acceder a las comunicaciones del otro, y viceversa.
Con todo, la AEPD ha impuesto a Cableuropa la multa ya mencionada anteriormente de 60.101,21€ por infringir el artículo 9 de la LOPD, que se define como grave en el artículo 44.3.h) de la misma ley.
Fuente: Bandaancha
Fecha: 14/10/2010
Los hospitales españoles protegen mal las historias clínicas de los pacientes
El director de la Agencia Española de Protección de Datos (AEPD), Artemi Rallo, ha advertido esta mañana de la existencia de "importantes deficiencias" en la custodia y tratamiento de los datos personales de los pacientes por parte de los hospitales españoles.
Los fallos son más abundantes en la sanidad pública, según ha constatado la Agencia en un estudio basado en la consulta mediante cuestionario practicada a 562 hospitales públicos y privados de toda España con una salvedad: de Madrid y País Vasco sólo respondieron los privados y de Cataluña ninguno, dado que estas comunidades tienen sus propias agencias de protección de datos.
"Los principales incumplimientos se dan en la implantación de medidas de seguridad y custodia de la información", según ha explicado Rallo, pese a que los datos médicos están tipificados por ley como "sensibles" y "de especial protección" y requieren medidas de seguridad de nivel alto.
Así, nos encontramos, por ejemplo, con que el 30% de los centros públicos carece de medidas para evitar la pérdida o acceso indebido a la documentación clínica durante su transporte. O que en el 35% de los hospitales el archivo de las historias clínicas carece de mecanismos que impidan su apertura.
Pérdida de historiales
Cerca del 40% de los centros sanitarios públicos y del 15% de los privados incumplen la obligación de tener un registro de accesos a la información sanitaria custodiada. Y el 66% de los centros públicos no realizan auditoría de seguridad.
El estudio practicado parte de una realidad preocupante, que es el número de denuncias registradas bien por la difusión indebida de esa información personal de especial protección (sobre todo a través del intercambio de archivos P2P), bien por el abandono de historias clínicas en contenedores de la vía pública, bien por su almacenamiento en áreas no restringidas, bien por la pérdida de historiales en los procesos de automatización, según precisó el director de la AEPD.
En 2009 se presentaron 123 denuncias y en lo que va de año ya van 100, además de medio centenar de peticiones de tutela de derechos por parte de personas que han encontrado dificultades para acceder a datos propios o de sus familiares.
Fuente: El Mundo
Fecha: 13/10/2010
Los fallos son más abundantes en la sanidad pública, según ha constatado la Agencia en un estudio basado en la consulta mediante cuestionario practicada a 562 hospitales públicos y privados de toda España con una salvedad: de Madrid y País Vasco sólo respondieron los privados y de Cataluña ninguno, dado que estas comunidades tienen sus propias agencias de protección de datos.
"Los principales incumplimientos se dan en la implantación de medidas de seguridad y custodia de la información", según ha explicado Rallo, pese a que los datos médicos están tipificados por ley como "sensibles" y "de especial protección" y requieren medidas de seguridad de nivel alto.
Así, nos encontramos, por ejemplo, con que el 30% de los centros públicos carece de medidas para evitar la pérdida o acceso indebido a la documentación clínica durante su transporte. O que en el 35% de los hospitales el archivo de las historias clínicas carece de mecanismos que impidan su apertura.
Pérdida de historiales
Cerca del 40% de los centros sanitarios públicos y del 15% de los privados incumplen la obligación de tener un registro de accesos a la información sanitaria custodiada. Y el 66% de los centros públicos no realizan auditoría de seguridad.
El estudio practicado parte de una realidad preocupante, que es el número de denuncias registradas bien por la difusión indebida de esa información personal de especial protección (sobre todo a través del intercambio de archivos P2P), bien por el abandono de historias clínicas en contenedores de la vía pública, bien por su almacenamiento en áreas no restringidas, bien por la pérdida de historiales en los procesos de automatización, según precisó el director de la AEPD.
En 2009 se presentaron 123 denuncias y en lo que va de año ya van 100, además de medio centenar de peticiones de tutela de derechos por parte de personas que han encontrado dificultades para acceder a datos propios o de sus familiares.
Fuente: El Mundo
Fecha: 13/10/2010
Una inmobiliaria debe pagar 60.101 euros por dar datos de una clienta
Una inmobiliaria tendrá que pagar 60.101, 21 euros a una vecina de Santa Cruz por dar sus datos sin su permiso a la compañía de electricidad Unelco. Así lo ha determinado la Agencia Española de Protección de Datos (AEPD) que ha rechazado un recurso presentado por la inmobiliaria.
El organismo público, sin embargo considera probado que esta empresa facilitó los datos personales y bancarios de la propietaria de este inmueble a fin de que pudiera cumplimentar el formulario llamado "Póliza de abono para suministro de energía eléctrica" para la activación del alta de este servicio.
Sin embargo, según denunció la propietaria del inmueble el formulario de póliza de abono confeccionado por personal de la compañía contenía datos personales de la cliente, tales como dirección y de correspondencia que había sido proporcionados por la inmobiliaria. En el contrato se puede observar una rúbrica debajo del epígrafe donde dice "cliente" que no es la de la contratante.
Consentimiento
La empresa argumentó que no era necesario obtener consentimiento de la vecina para comunicar los datos a un tercero, ya que la denunciante había expresado su aceptación en un documento que sin embargo, luego había desaparecido. Para la empresa la cesión de los datos a Endesa "es una consecuencia que procede conforme a la buena fe, al uso y a la ley". La Agencia no duda en imputar a la inmobiliaria de una infracción de la Ley Sobre la Protección de Datos de Carácter Personal al considerar que este tipo de referencias "sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y de cesionario con el previo consentimiento del interesado".
Este tipo de infracciones pueden ser penadas con multas que oscilan entre los 300.506,05 euros y los 601.012,10. "En el presente caso ha quedado acreditado que la empresa cedió a Endesa los datos personales de la persona denunciante para una finalidad diferente para la que fueron recabados no habiendo podido justificar que contara con el consentimiento de la afectada para tal cesión.
En el presente caso no ha quedado acreditado ni el consentimiento de la vecina, ni en su defecto, que existiera una Ley que amparara esta cesión". La Agencia indica que la empresa mantenía una relación contractual con la dueña del inmueble que le obligaba a custodiar y proteger los datos personales de su cliente y a no cederlos a nadie, fuera de los casos previstos por las leyes o con el consentimiento expreso de la titular. La inmobiliaria poseía datos personales y bancarios de su clienta para el cumplimiento del contrato de adquisición de la vivienda y también para la realización de algunas gestiones relacionadas con la vivienda y los servicios que se necesitan para que la misma esté en disposición de ser habitada por el dueño que la adquiere de nuevas.
"La confianza dada por esta empresa para conseguir determinadas certificaciones y constituir la comunidad de propietarios de las nuevas viviendas, la buena fe en la ejecución y el fin que se persigue que es beneficioso para el propietario, de proporcionar suministró eléctrico a la vivienda son circunstancias concurrentes que, si bien no liberan totalmente de responsabilidad a la empresa imputada, si disminuyen de forma cualificada la misma". Por este razón se decidió bajar la cuantía de la sanción y reducirlas hasta los 60.000 euros. El organismo cree que el consentimiento para utilizar los datos debe ser "inequívoco".
Fuente: La Opinion de Tenerife
Fecha: 16/09/2010
El organismo público, sin embargo considera probado que esta empresa facilitó los datos personales y bancarios de la propietaria de este inmueble a fin de que pudiera cumplimentar el formulario llamado "Póliza de abono para suministro de energía eléctrica" para la activación del alta de este servicio.
Sin embargo, según denunció la propietaria del inmueble el formulario de póliza de abono confeccionado por personal de la compañía contenía datos personales de la cliente, tales como dirección y de correspondencia que había sido proporcionados por la inmobiliaria. En el contrato se puede observar una rúbrica debajo del epígrafe donde dice "cliente" que no es la de la contratante.
Consentimiento
La empresa argumentó que no era necesario obtener consentimiento de la vecina para comunicar los datos a un tercero, ya que la denunciante había expresado su aceptación en un documento que sin embargo, luego había desaparecido. Para la empresa la cesión de los datos a Endesa "es una consecuencia que procede conforme a la buena fe, al uso y a la ley". La Agencia no duda en imputar a la inmobiliaria de una infracción de la Ley Sobre la Protección de Datos de Carácter Personal al considerar que este tipo de referencias "sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y de cesionario con el previo consentimiento del interesado".
Este tipo de infracciones pueden ser penadas con multas que oscilan entre los 300.506,05 euros y los 601.012,10. "En el presente caso ha quedado acreditado que la empresa cedió a Endesa los datos personales de la persona denunciante para una finalidad diferente para la que fueron recabados no habiendo podido justificar que contara con el consentimiento de la afectada para tal cesión.
En el presente caso no ha quedado acreditado ni el consentimiento de la vecina, ni en su defecto, que existiera una Ley que amparara esta cesión". La Agencia indica que la empresa mantenía una relación contractual con la dueña del inmueble que le obligaba a custodiar y proteger los datos personales de su cliente y a no cederlos a nadie, fuera de los casos previstos por las leyes o con el consentimiento expreso de la titular. La inmobiliaria poseía datos personales y bancarios de su clienta para el cumplimiento del contrato de adquisición de la vivienda y también para la realización de algunas gestiones relacionadas con la vivienda y los servicios que se necesitan para que la misma esté en disposición de ser habitada por el dueño que la adquiere de nuevas.
"La confianza dada por esta empresa para conseguir determinadas certificaciones y constituir la comunidad de propietarios de las nuevas viviendas, la buena fe en la ejecución y el fin que se persigue que es beneficioso para el propietario, de proporcionar suministró eléctrico a la vivienda son circunstancias concurrentes que, si bien no liberan totalmente de responsabilidad a la empresa imputada, si disminuyen de forma cualificada la misma". Por este razón se decidió bajar la cuantía de la sanción y reducirlas hasta los 60.000 euros. El organismo cree que el consentimiento para utilizar los datos debe ser "inequívoco".
Fuente: La Opinion de Tenerife
Fecha: 16/09/2010
La Agencia de Datos supera los dos millones de bases de empresas inscritas
La Agencia Española de Protección de Datos (AEPD) ha alcanzado en el mes de agosto la cifra de 2.002.931 ficheros con datos de carácter personal inscritos en el Registro General de Protección de Datos por empresas y organismos públicos.
De ellos 439.832 han sido inscritos en los ocho primeros meses del año 2010, cifra que supera el total de ficheros inscritos en 2009 (380.177), según un comunicado difundido hoy por la AEPD.
Entre los sectores con mayor actividad en la inscripción de ficheros, destacan los relacionados con la pequeña y mediana empresa y autónomos (comercio, turismo y hostelería); el sector inmobiliario (comunidades de propietarios y construcción), y el sector sanitario (sanidad y farmacia).
Jerárquicamente destaca principalmente el número de bases de datos inscritas por las comunidades de propietarios, que ya ha superado la cifra acumulada de 241.000 ficheros registrados, y ha registrado un crecimiento en 2010 superior al 23 por ciento.
En segundo lugar se encuentran las notificaciones realizadas por el sector del comercio que cuenta con 212.761 ficheros, y que aumenta asimismo por encima del 24 por ciento respecto al año anterior.
En tercer lugar se sitúa el sector sanitario con 154.004 ficheros inscritos, seguido de las actividades de auditoria, contabilidad y asesoría fiscal, que cuentan con 108.872.
Con respecto a la finalidad por la cual se inscriben los ficheros, "es destacable" el aumento que sigue experimentando en los últimos años la notificación de los ficheros de videovigilancia, indica el comunicado.
Actualmente, la cifra total de ficheros inscritos que declaran esta finalidad es de 60.239 ficheros, de los cuales 22.820 ficheros han sido inscritos en los ocho primeros meses de 2010.
Asimismo, cabe destacar que los sectores de comercio (12.530) y turismo y hostelería (7.398) son actualmente los que mayor número de ficheros de videovigilancia notifican, seguidos de las comunidades de propietarios que se perfilan, cada vez más, como uno de los ámbitos en los que la videovigilancia tiene mayor presencia.
En cuanto a la distribución de los ficheros según la titularidad de los mismos se desprende que de los más de dos millones de ficheros inscritos en el registro, 104.443 de ellos son de titularidad pública y 1.898.488 son de titularidad privada.
Por comunidades autónomas, Cataluña (382.370), Madrid (277.703) y Andalucía (264.431) son las regiones que acumulan un mayor número de ficheros inscritos en el RGPD, seguidas a continuación por la Comunidad Valenciana y Galicia.
Fuente: El Correo
Fecha: 14/09/2010
De ellos 439.832 han sido inscritos en los ocho primeros meses del año 2010, cifra que supera el total de ficheros inscritos en 2009 (380.177), según un comunicado difundido hoy por la AEPD.
Entre los sectores con mayor actividad en la inscripción de ficheros, destacan los relacionados con la pequeña y mediana empresa y autónomos (comercio, turismo y hostelería); el sector inmobiliario (comunidades de propietarios y construcción), y el sector sanitario (sanidad y farmacia).
Jerárquicamente destaca principalmente el número de bases de datos inscritas por las comunidades de propietarios, que ya ha superado la cifra acumulada de 241.000 ficheros registrados, y ha registrado un crecimiento en 2010 superior al 23 por ciento.
En segundo lugar se encuentran las notificaciones realizadas por el sector del comercio que cuenta con 212.761 ficheros, y que aumenta asimismo por encima del 24 por ciento respecto al año anterior.
En tercer lugar se sitúa el sector sanitario con 154.004 ficheros inscritos, seguido de las actividades de auditoria, contabilidad y asesoría fiscal, que cuentan con 108.872.
Con respecto a la finalidad por la cual se inscriben los ficheros, "es destacable" el aumento que sigue experimentando en los últimos años la notificación de los ficheros de videovigilancia, indica el comunicado.
Actualmente, la cifra total de ficheros inscritos que declaran esta finalidad es de 60.239 ficheros, de los cuales 22.820 ficheros han sido inscritos en los ocho primeros meses de 2010.
Asimismo, cabe destacar que los sectores de comercio (12.530) y turismo y hostelería (7.398) son actualmente los que mayor número de ficheros de videovigilancia notifican, seguidos de las comunidades de propietarios que se perfilan, cada vez más, como uno de los ámbitos en los que la videovigilancia tiene mayor presencia.
En cuanto a la distribución de los ficheros según la titularidad de los mismos se desprende que de los más de dos millones de ficheros inscritos en el registro, 104.443 de ellos son de titularidad pública y 1.898.488 son de titularidad privada.
Por comunidades autónomas, Cataluña (382.370), Madrid (277.703) y Andalucía (264.431) son las regiones que acumulan un mayor número de ficheros inscritos en el RGPD, seguidas a continuación por la Comunidad Valenciana y Galicia.
Fuente: El Correo
Fecha: 14/09/2010
Suscribirse a:
Entradas (Atom)
Entradas
