Con sólo introducir el número de teléfono fijo en una página web se puede saber el nombre del titular de la línea, su dirección y hasta su cuenta en Facebook. Es como las viejas páginas blancas pero al revés. La empresa, llamada ABC Teléfonos, ofrece incluso la posibilidad de enviar mensajes al localizado o editar su información. Esta práctica, denominada búsqueda inversa, está prohibida por la ley española. Sin embargo, otros servicios, como los buscadores de multas, no violan la normativa en vigor ya que hacen lo mismo que Google, rastrear la información disponible en fuentes públicas.
La alarma la dio un foro de internet. "¿Cómo es que mi nombre, apellidos y número de teléfono salen en una pagina de internet llamada ABC Teléfonos sin mi autorización? ¿Se puede denunciar?", escribía un usuario anónimo. Enseguida, el caso saltó a Meneame.net, una conocida página web que recoge las noticias que cuelgan sus usuarios y es una de las más vistas en los últimos días.
La ley española no permite localizar a una persona por un número telefónico
Datos al descubierto
Decenas de personas hicieron la prueba de poner su número de teléfono en la casilla y la mayoría descubrió que la página desvelaba su nombre completo y dónde viven, mostrando incluso un mapa con su ubicación. Hubo uno que, con sorna, escribió que ya había localizado a alguien que le debía dinero. Pero la mayoría se preguntaba si lo que hace esta web es legal o no.
Pues no lo es. Según la Agencia Española de Pro-tección de Datos (AEPD), "el tratamiento de datos personales en las guías inversas, es decir, la posibilidad de averiguar datos personales relativos a la persona física a partir de un número de teléfono cuyo abonado es desconocido constituye un uso totalmente diferente de la finalidad establecida de las guías telefónicas convencionales, cuyo fin es revelar el número de teléfono de un abonado a partir del nombre". De hecho, para hacer lo que hace, ABC Teléfonos tendría que pedir "el consentimiento informado del abonado", ya que se trata de una nueva finalidad a los tradicionales listines.
Los datos de los abonados sólo se deberían dar con su consentimiento
La normativa también establece que el ciudadano tiene los derechos de acceso, rectificación cancelación y oposición al tratamiento de sus datos. Sin embargo, cuando se intenta borrarlos, la página conserva la vinculación entre el número de teléfono y el nombre. Además, ofrece enlaces a Dateas, otra web de la misma compañía que promete informes sobre la actividad comercial, el DNI y hasta la cuenta de Facebook. Estos informes hay que pagarlos. Otro problema añadido es que ambas páginas están fuera de España.
"Las guías inversas que se establecen intencionadamente en el extranjero quieren evitar la aplicación de la normativa española, que es una de las estrictas del mundo en materia de privacidad", explican desde Salirdeinternet , abogados especializados en el anonimato en internet. En concreto las dos web pertenecen a la empresa británica Nexus World LLP.
Otras prácticas legales
Las páginas de internet burlan la norma ubicándose fuera de España
Esta práctica recuerda mucho a la de otras páginas web que tuvieron problemas en el pasado. El buscador de multas de la empresa DVuelta, por ejemplo, fue investigado por la AEPD. Con sólo introducir el número del DNI del conductor y la matrícula del coche, se podían saber todas las multas que le habían puesto. Pero, a diferencia de lo que hace ABC Teléfonos, la información es extraída de los boletines oficiales, que son fuentes accesibles al público. En ese sentido, iniciativas como Tienesmultas.com o Buscamultas.com son plenamente legales en España.
Fuente: Publico
Fecha: 14/11/2011
miércoles, 30 de noviembre de 2011
Hallan documentos confidenciales de ministro británico en cubos de basura
El ministro de Epresa del Reino Unido, Vince Cable, se disculpó después de que algunos de sus documentos confidenciales fueran encontrados en cubos de basura.
Los documentos, que incluyen correspondencia de otros ministros y cartas de sus electores, fueron encontrados en bolsas transparentes de reciclaje fuera de su oficina.
Cable podría ser multado con una cantidad de hasta US$1.800 si se considera que violó las leyes de protección de datos.
Otro ministro, Oliver Letwin, también está siendo investigado después de haber sido acusado de tirar documentos en un parque público.
Fuente: BBC
Fecha: 04/11/2011
Los documentos, que incluyen correspondencia de otros ministros y cartas de sus electores, fueron encontrados en bolsas transparentes de reciclaje fuera de su oficina.
Cable podría ser multado con una cantidad de hasta US$1.800 si se considera que violó las leyes de protección de datos.
Otro ministro, Oliver Letwin, también está siendo investigado después de haber sido acusado de tirar documentos en un parque público.
Fuente: BBC
Fecha: 04/11/2011
Facebook se enfrenta a una multa de 100.000 euros por guardar datos eliminados
Facebook se enfrenta a una multa de 100.000 euros por guardar datos de usuarios que habían decidido eliminarlos. Esta red social se someterá a una auditoria por la Comisión de Protección de Datos de Irlanda tras registrar 22 quejas por parte de un estudiante de derecho austriaco.
Esta denuncia no es la primera a la que la red social de Mark Zuckerberg se enfrenta. Del mismo modo, a finales de 2009, su creador ya fue denunciado por su nueva política de privacidad, pues, a juicio de las asociaciones norteamericanas "atentaba contra los derechos de sus usuarios".
Por otro lado, el centro de protección de datos del estado alemán Schleswig-Holstein declaró en agosto ilegales los 'plug-ins' sociales como el botón 'Me gusta', ya que expone el perfil del usuario. Las páginas web de este estado deben eliminar dicho botón antes del 30 de septiembre o podrán ser multadas.
Ahora, en Irlanda, Max Schrems, de 24 años, ha decidido plantarle cara a Facebook tras descubrir que esta red social mantenía 1.200 páginas con datos personales sobre él, a pesar de que había decidido eliminarla.
Schrems pidió a Facebook una copia de sus datos en el mes de junio, y a partir de ahí cuando recibió el CD que contenía toda su información se dio cuenta de que ese contenido, previamente suprimido de su perfil en los tres años que llevaba unido a esta red, aún permanecía.
Una pena máxima de 100.000 euros
Tras descubrir este hecho, se puso en contacto con la Comisión de Protección de Datos Irlanda y si esta averiguara en su auditoria que Facebook o cualquier empleado era culpable de violar la ley de protección de datos tendría una pena máxima de multa de 100.000 euros.
Entre las páginas recopiladas del denunciante, se encontró un registro de todos sus movimientos (chats, fotos, solicitudes). Dicha información estaba dividida en 57 categorías e incluía direcciones de correo electrónico.
Por su parte, este austriaco, ha hecho un llamamiento a todos los usuarios para que sigan su ejemplo, pues, resulta "aterrador" toda la información que Facebook tiene en su poder, "la información es poder, y la información acerca de las personas es el poder sobre la gente", ha concluido.
Por lo que respecta a España, la Asociación para la Prevención y Estudio de Delitos, Abusos y Negligencias en Informática y Comunicaciones Avanzadas (APEDANICA) ha puesto en conocimiento de la Agencia Española de Protección de Datos (AEPD) este caso y ha solicitado que estudie las 22 denuncias.
Fuente: ABC
Fecha 26/10/2011
Esta denuncia no es la primera a la que la red social de Mark Zuckerberg se enfrenta. Del mismo modo, a finales de 2009, su creador ya fue denunciado por su nueva política de privacidad, pues, a juicio de las asociaciones norteamericanas "atentaba contra los derechos de sus usuarios".
Por otro lado, el centro de protección de datos del estado alemán Schleswig-Holstein declaró en agosto ilegales los 'plug-ins' sociales como el botón 'Me gusta', ya que expone el perfil del usuario. Las páginas web de este estado deben eliminar dicho botón antes del 30 de septiembre o podrán ser multadas.
Ahora, en Irlanda, Max Schrems, de 24 años, ha decidido plantarle cara a Facebook tras descubrir que esta red social mantenía 1.200 páginas con datos personales sobre él, a pesar de que había decidido eliminarla.
Schrems pidió a Facebook una copia de sus datos en el mes de junio, y a partir de ahí cuando recibió el CD que contenía toda su información se dio cuenta de que ese contenido, previamente suprimido de su perfil en los tres años que llevaba unido a esta red, aún permanecía.
Una pena máxima de 100.000 euros
Tras descubrir este hecho, se puso en contacto con la Comisión de Protección de Datos Irlanda y si esta averiguara en su auditoria que Facebook o cualquier empleado era culpable de violar la ley de protección de datos tendría una pena máxima de multa de 100.000 euros.
Entre las páginas recopiladas del denunciante, se encontró un registro de todos sus movimientos (chats, fotos, solicitudes). Dicha información estaba dividida en 57 categorías e incluía direcciones de correo electrónico.
Por su parte, este austriaco, ha hecho un llamamiento a todos los usuarios para que sigan su ejemplo, pues, resulta "aterrador" toda la información que Facebook tiene en su poder, "la información es poder, y la información acerca de las personas es el poder sobre la gente", ha concluido.
Por lo que respecta a España, la Asociación para la Prevención y Estudio de Delitos, Abusos y Negligencias en Informática y Comunicaciones Avanzadas (APEDANICA) ha puesto en conocimiento de la Agencia Española de Protección de Datos (AEPD) este caso y ha solicitado que estudie las 22 denuncias.
Fuente: ABC
Fecha 26/10/2011
Unas 300.000 direcciones IP al descubierto en Irán
Son malos tiempos para la seguridad informática, si al oír las palabras "ataque informático en Irán" nos preguntamos si es cuestión de una guerra cibernética entre Gobiernos, de campañas hacktivistas en defensa de los derechos civiles, de delincuencia común o de un Gobierno autoritario.
En este caso parece que es al último a quién tenemos que echarle la culpa, en un golpe más que notable: unas 300.000 direcciones IP iraníes fueron espiadas por una o varias personas, que antes habían robado certificados de seguridad de una firma holandesa.
Esos certificados estuvieron en vigor desde el 10 de julio y hasta el 29 de agosto, y permitían obtener información de Google para, por ejemplo, controlar las cuentas de correo de Gmail de las víctimas. Dado que la mayoría de las direcciones vigiladas parecían utilizar servicios como Tor, proxies o VPN para proteger su identidad, es probable que pertenezcan a activistas y miembros de la disidencia iraní.
Pero Google no es el único al que se le presentaron esos certificados falsos: también agencias de inteligencia como la CIA estadounidense o el Mossad israelí, que al parecer proporcionaron información ante los certificados robados a DigiNotar.
Las rebeliones de la "primavera árabe", organizadas en buena parte en Internet, así como protestas más pacíficas como la de los "indignados" en España, han redoblado el interés de los gobiernos autoritarios por controlar Internet. Y aunque parece difícil que logren controlar la Red como les gustaría, el hecho es que muchos activistas acaban encontrándose en problemas con la ley.
Fuente: Baquia
Fecha: 06/09/2011
En este caso parece que es al último a quién tenemos que echarle la culpa, en un golpe más que notable: unas 300.000 direcciones IP iraníes fueron espiadas por una o varias personas, que antes habían robado certificados de seguridad de una firma holandesa.
Esos certificados estuvieron en vigor desde el 10 de julio y hasta el 29 de agosto, y permitían obtener información de Google para, por ejemplo, controlar las cuentas de correo de Gmail de las víctimas. Dado que la mayoría de las direcciones vigiladas parecían utilizar servicios como Tor, proxies o VPN para proteger su identidad, es probable que pertenezcan a activistas y miembros de la disidencia iraní.
Pero Google no es el único al que se le presentaron esos certificados falsos: también agencias de inteligencia como la CIA estadounidense o el Mossad israelí, que al parecer proporcionaron información ante los certificados robados a DigiNotar.
Las rebeliones de la "primavera árabe", organizadas en buena parte en Internet, así como protestas más pacíficas como la de los "indignados" en España, han redoblado el interés de los gobiernos autoritarios por controlar Internet. Y aunque parece difícil que logren controlar la Red como les gustaría, el hecho es que muchos activistas acaban encontrándose en problemas con la ley.
Fuente: Baquia
Fecha: 06/09/2011
Amonestan al Govern por publicar en el BOIB datos sobre la salud de una maestra
La Agencia Española de Protección de Datos (AEPD) ha sancionado al Govern con una amonestación, y el cese de las prácticas irregulares, por desvelar en el Boletín Oficial de les Illes Balears (BOIB) datos de salud de una maestra y funcionaria pública. La conselleria de Educación publicó, sin permiso de la afectada, que la directora de un colegio público mallorquín había dimitido por una depresión causada por el estrés laboral.
Los hechos se remontan a la primavera del 2005 cuando la directora de un centro público decidió presentar su dimisión a causa de una enfermedad. Según esta profesora, ella envió a la conselleria (la dirección general de Planificación y Centros Educativos) un escrito alegando que, por razones de salud, dejaba el cargo.
Sin embargo, desde la conselleria se pusieron en contacto con la funcionaria por teléfono y le pidieron que concretara más los motivos de salud. La dimisionaria mandó entonces al Govern un escrito donde comunicaba su decisión: "Ya he cumplido mi compromiso como directora y padezco una depresión endógena agravada por la situación de estrés".
"Nunca di el permiso"
La sorpresa, y el disgusto, de la funcionaria fueron enormes cuando, al cabo de pocos días, el BOIB publicó su dimisión y reveló sus problemas de salud, incluida la depresión y el estrés laboral. La funcionaria denunció el caso a la AEPD, que abrió una investigación al respecto.
La conselleria de Educación se defendió alegando que la interesada había facilitado detalles sobre sus razones para dejar el cargo, sabiendo que esa información iba a ser usada en la resolución donde se aceptó su renuncia.
La exdirectora insistió en que nunca la conselleria le pidió el consentimiento por escrito para revelar esos datos de su intimidad y menos para sacarlos en el BOIB.
La denunciante añadió que meses después de su renuncia todavía salía en Internet la resolución del boletín oficial donde se desvelaba su enfermedad. Ayer en la página oficial del BOIB aparecía la misma resolución.
La Agencia de Protección de Datos entiende que el Govern vulneró de forma muy grave la Ley Orgánica de Protección de Datos. La conselleria de Educación, según postula la resolución, no pidió el consentimiento a la maestra para revelar esa información sobre su salud, publicó en el BOIB (y colgó en Internet) la enfermedad padecida por la funcionaria y, además, no había ningún tipo de necesidad para revelar esos datos.
La resolución no impuso ningún tipo de multa al Govern por esa infracción, pero sí que le conminó a "adoptar medidas" para evitar supuestos similares. La AEPD emplazó a la conselleria a notificarle qué había hecho para correguir esa disfunción.
Fuente: diario de Mallorca
Fecha: 06/09/2011
Los hechos se remontan a la primavera del 2005 cuando la directora de un centro público decidió presentar su dimisión a causa de una enfermedad. Según esta profesora, ella envió a la conselleria (la dirección general de Planificación y Centros Educativos) un escrito alegando que, por razones de salud, dejaba el cargo.
Sin embargo, desde la conselleria se pusieron en contacto con la funcionaria por teléfono y le pidieron que concretara más los motivos de salud. La dimisionaria mandó entonces al Govern un escrito donde comunicaba su decisión: "Ya he cumplido mi compromiso como directora y padezco una depresión endógena agravada por la situación de estrés".
"Nunca di el permiso"
La sorpresa, y el disgusto, de la funcionaria fueron enormes cuando, al cabo de pocos días, el BOIB publicó su dimisión y reveló sus problemas de salud, incluida la depresión y el estrés laboral. La funcionaria denunció el caso a la AEPD, que abrió una investigación al respecto.
La conselleria de Educación se defendió alegando que la interesada había facilitado detalles sobre sus razones para dejar el cargo, sabiendo que esa información iba a ser usada en la resolución donde se aceptó su renuncia.
La exdirectora insistió en que nunca la conselleria le pidió el consentimiento por escrito para revelar esos datos de su intimidad y menos para sacarlos en el BOIB.
La denunciante añadió que meses después de su renuncia todavía salía en Internet la resolución del boletín oficial donde se desvelaba su enfermedad. Ayer en la página oficial del BOIB aparecía la misma resolución.
La Agencia de Protección de Datos entiende que el Govern vulneró de forma muy grave la Ley Orgánica de Protección de Datos. La conselleria de Educación, según postula la resolución, no pidió el consentimiento a la maestra para revelar esa información sobre su salud, publicó en el BOIB (y colgó en Internet) la enfermedad padecida por la funcionaria y, además, no había ningún tipo de necesidad para revelar esos datos.
La resolución no impuso ningún tipo de multa al Govern por esa infracción, pero sí que le conminó a "adoptar medidas" para evitar supuestos similares. La AEPD emplazó a la conselleria a notificarle qué había hecho para correguir esa disfunción.
Fuente: diario de Mallorca
Fecha: 06/09/2011
Amonestan a un registrador de Palma por una filtración de datos personales
La Agencia Española de Protección de Datos (AEPD) ha dictado una resolución instando a un registrador de la propiedad de Palma a evitar filtraciones de datos personales, mediante la emisión de notas informativas sobre bienes inmuebles a través de Internet. Uno de los Registros de la Propiedad de Palma (el 3) fue "cazado" por una asociación de usuarios que consiguió, telemáticamente, una nota registral alegando como "interés legítimo" para el acceso a los datos tener "curiosidad malsana".
La Asociación de Usuarios de Registros Públicos (ADEURP) emprendió en 2010 una campaña para demostrar "los agujeros" en el sistema de emisión de notas informativas implantado, a escala nacional, por el Colegio de Registradores de la Propiedad.
Esta aplicación permite, a las personas y entidades interesadas, y previa acreditación de su identidad y objetivos, acceder a información sobre la situación de inmuebles en toda España. En esas notas registrales aparecen datos personales e información sobre la situación del bien, como hipotecas y otras cargas. Los documentos remitidos por Internet son similares a los que cualquier ciudadano puede pedir en un Registro.
Pago y relleno del formulario
El sistema, antes de la iniciativa de los consumidores, consistía en unos formularios que había que rellenar en una página web del Colegio de Registradores y donde se tenía que hacer costar la identidad del solicitante (nombre, DNI, teléfono, dirección electrónica, número fiscal, etc). También había que facilitar una cuenta corriente para el pago de la tasa.
Los ciudadanos podían registrarse en ese servicio, y previa remisión por fax de una serie de documentación, tenían más facilidades para acceder a la información.
Los solicitantes también habían de justificar un "interés legítimo" para recabar los datos, aunque habitualmente se empleaban coletillas como "investigación jurídico-económica sobre solvencia", "investigación jurídica sobre el objeto, su titularidad o limitaciones", "investigación para contratación o interposición de acciones", etc.
En el caso denunciado a la AEPD, la asociación de usuarios simplemente puso como objetivo "la curiosidad malsana". No obstante, su petición fue cursada y le fue facilitada desde Palma la nota registral reclamada.
Los Registradores de la Propiedad, alertados de las iniciativas de la ADEURP y de las investigaciones abiertas por Protección de datos, hicieron una serie de reformas en la web para frenar las filtraciones. Además, instaron a todos los registradores, y a su personal, a extremar el celo en el control de las solicitudes de información por Internet, recordando que siempre se pueden negar esas peticiones si no están justificadas.
Artemi Rallo, anterior director de la Agencia de Protección de Datos, dictó una resolución en la que declaraba culpable al registrador de una falta de la Ley de Protección de Datos, por no impedir que información personal pasara a terceros sin interés legítimo o con móviles espurios. El registrador, al ser un funcionario del ministerio de Justicia, no puede ser sancionado y ha sido animado a enmendarse.
Fuente: Diario de Mallorca
Fecha: 05/09/2011
La Asociación de Usuarios de Registros Públicos (ADEURP) emprendió en 2010 una campaña para demostrar "los agujeros" en el sistema de emisión de notas informativas implantado, a escala nacional, por el Colegio de Registradores de la Propiedad.
Esta aplicación permite, a las personas y entidades interesadas, y previa acreditación de su identidad y objetivos, acceder a información sobre la situación de inmuebles en toda España. En esas notas registrales aparecen datos personales e información sobre la situación del bien, como hipotecas y otras cargas. Los documentos remitidos por Internet son similares a los que cualquier ciudadano puede pedir en un Registro.
Pago y relleno del formulario
El sistema, antes de la iniciativa de los consumidores, consistía en unos formularios que había que rellenar en una página web del Colegio de Registradores y donde se tenía que hacer costar la identidad del solicitante (nombre, DNI, teléfono, dirección electrónica, número fiscal, etc). También había que facilitar una cuenta corriente para el pago de la tasa.
Los ciudadanos podían registrarse en ese servicio, y previa remisión por fax de una serie de documentación, tenían más facilidades para acceder a la información.
Los solicitantes también habían de justificar un "interés legítimo" para recabar los datos, aunque habitualmente se empleaban coletillas como "investigación jurídico-económica sobre solvencia", "investigación jurídica sobre el objeto, su titularidad o limitaciones", "investigación para contratación o interposición de acciones", etc.
En el caso denunciado a la AEPD, la asociación de usuarios simplemente puso como objetivo "la curiosidad malsana". No obstante, su petición fue cursada y le fue facilitada desde Palma la nota registral reclamada.
Los Registradores de la Propiedad, alertados de las iniciativas de la ADEURP y de las investigaciones abiertas por Protección de datos, hicieron una serie de reformas en la web para frenar las filtraciones. Además, instaron a todos los registradores, y a su personal, a extremar el celo en el control de las solicitudes de información por Internet, recordando que siempre se pueden negar esas peticiones si no están justificadas.
Artemi Rallo, anterior director de la Agencia de Protección de Datos, dictó una resolución en la que declaraba culpable al registrador de una falta de la Ley de Protección de Datos, por no impedir que información personal pasara a terceros sin interés legítimo o con móviles espurios. El registrador, al ser un funcionario del ministerio de Justicia, no puede ser sancionado y ha sido animado a enmendarse.
Fuente: Diario de Mallorca
Fecha: 05/09/2011
El Hospital rechaza dar los datos de sus médicos a la plataforma de pacientes
La Plataforma de Usuarios de Medicina del Área 22 -que se conocen con el acrónimo Puma 22- ha recibido una contestación de la Conselleria de Sanidad, a través de la Dirección del Hospital de Torrevieja, en la cual se le niega la información que habían solicitado sobre los facultativos que trabajan en el departamento, que agrupa a media comarca de la Vega Baja. Como viene publicando este periódico, la Conselleria de Sanidad y Ribera Salud -la empresa que gestiona el Hospital de Torrevieja- han admitido que durante las últimas semanas han reubicado a ocho facultativos que tenían pendiente de acreditar su homologación para la especialidad que desempeñan.
El caso salió a la luz después del fallecimiento de un niño de 5 años en el centro sanitario, cuando sus padres presentaron una denuncia y la pediatra que prestó declaración como imputada por estos hechos no aportó el documento que le requirió el juzgado para demostrar que estaba homologada en España toda su titulación para la actividad.
La dirección del Hospital de Torrevieja se basa en una consulta al área jurídica de la Conselleria de Sanidad para denegar la información solicitada por "Puma 22" y con la cual querían tranquilizar a la población; máxime, cuando la Generalitat y Ribera Salud llevan días aseguran que todo en este asunto es "transparente". Según la dirección sanitaria no se la van a dar por "la Ley de Protección de Datos, que es muy clara al respecto, no podemos facilitarle ningún listado referente a las personas que trabajan en nuestras instituciones".
Especialidad
Como ya viene siendo habitual desde que estalló este asunto, el Hospital le dice a la plataforma que "estamos en disposición de asegurarle que todos los facultativos adscritos a una especialidad cuentan con la titulación correspondiente que les habilita para ejercer dicha actividad".
Un portavoz de Puma 22 se mostró ayer molesto y asombrado por esta contestación, "sin ánimo de polemizar, esta información ya está accesible a través de los colegios médicos. Nos parece muy bien que tengan como objetivo la transparencia. No nos parece tan bien que escudándose en una mala interpretación de la citada ley nos oculten datos a los pacientes, datos que tenemos derecho a conocer y ustedes la obligación a facilitar (...) Es una pena que una oportunidad de ser auténticamente transparente se está perdiendo porque si se descubre otro(s) médico(s) sin la titulación requerida para el puesto, su política de transparencia quedará mermada".
Fuente: diario informacion
Fecha: 25/08/2011
El caso salió a la luz después del fallecimiento de un niño de 5 años en el centro sanitario, cuando sus padres presentaron una denuncia y la pediatra que prestó declaración como imputada por estos hechos no aportó el documento que le requirió el juzgado para demostrar que estaba homologada en España toda su titulación para la actividad.
La dirección del Hospital de Torrevieja se basa en una consulta al área jurídica de la Conselleria de Sanidad para denegar la información solicitada por "Puma 22" y con la cual querían tranquilizar a la población; máxime, cuando la Generalitat y Ribera Salud llevan días aseguran que todo en este asunto es "transparente". Según la dirección sanitaria no se la van a dar por "la Ley de Protección de Datos, que es muy clara al respecto, no podemos facilitarle ningún listado referente a las personas que trabajan en nuestras instituciones".
Especialidad
Como ya viene siendo habitual desde que estalló este asunto, el Hospital le dice a la plataforma que "estamos en disposición de asegurarle que todos los facultativos adscritos a una especialidad cuentan con la titulación correspondiente que les habilita para ejercer dicha actividad".
Un portavoz de Puma 22 se mostró ayer molesto y asombrado por esta contestación, "sin ánimo de polemizar, esta información ya está accesible a través de los colegios médicos. Nos parece muy bien que tengan como objetivo la transparencia. No nos parece tan bien que escudándose en una mala interpretación de la citada ley nos oculten datos a los pacientes, datos que tenemos derecho a conocer y ustedes la obligación a facilitar (...) Es una pena que una oportunidad de ser auténticamente transparente se está perdiendo porque si se descubre otro(s) médico(s) sin la titulación requerida para el puesto, su política de transparencia quedará mermada".
Fuente: diario informacion
Fecha: 25/08/2011
Sevilla, la cuarta provincia española con más denuncias
LA Agencia de Protección de Datos recibió en 2010 un total de 174 denuncias contra empresas y administraciones públicas de Sevilla por infracción de la Ley Orgánica de Protección de Datos. Sevila es la cuarta provincia que más denuncias recibió después de Madrid (1.293), Barcelona (320) y Valencia (208). El pasado año fueron sancionadas en Sevilla 14 empresas por no proteger datos personales de sus clientes y tres administraciones fueron apercibidas para que tomaran medidas correctoras.
La memoria 2010 de la Agencia de Protección de Datos, al frente de la cual está Artemi Rallo, informa que el pasado año se presentaron en España 4.220 denuncias por infracción de esa norma, de las que 582 fueron en Andalucía, lo que representa 14% del total. Sevilla, con 174 denuncias, lidera el ranking de las provincias andaluzas, seguida de Málaga (119) y Cádiz (74).
En cuanto a las empresas sancionadas en 2010, la Agencia de Protección de Datos impuso 45 multas por infracciones leves y graves en Andalucía: 14 en Sevilla, 11 en Málaga, 6 en Almería, 5 en Jaén, 3 en Cádiz y 2 en Huelva, Córdoba y Granada. En lo que respecta a las administraciones públicas infractoras, la Agencia de Protección de Datos dio un tirón de orejas a tres administraciones en Sevilla, una de ellas la Universidad Hispalense. Cuando las infracciones son cometidas en ficheros de titularidad pública, la Ley establece que la Agencia de Protección de Datos puede dictar una resolución estableciendo las medidas necesarias para que cesen o corrijan esas irregularidades, pudiendo establecer actuaciones disciplinarias sin procedieran y comunicarlo al Defensor del Pueblo.
D En el cómputo glogal de España, un 63,14% de las sanciones a empresas fueron por infracciones graves, mientras que un 34,4% fueron leves y un 2,50& muy graves. Por sectores, la mayoría de las expedientes sancionadores se abrieron por actividades de telecomunicaciones, videovigilancia, entidades financieras a administracones públicas y servicios de internet. Otros sectores en los que se han incrementado las denuncias son los servicios de internet y publicidad, así como los de prospección comercial (excepto spam), fuerzas y cuerpos de seguridad y empresas de suministro (gas, electricidad y agua). Además, se han dolabdo el número de denuncias referidas a las actuaciones de los sindicatos en el uso de datos de carácter personal. En lo que respecta a las declaraciones de infracciones de las administraciones, el 41% de las administraciones apercibidas fueron ayuntamientos y el 28,5% fueron del Estado; el 27% fueron gobiernos autónomicos. La mayoría de las consultas que recibió la Agencia
de Protección de Datos fue por cesión de datos personales; uso de ficheros públicos, falta de consentimiento para usar datos privados; medidas de seguridad, calidad de los datos y derechos de rectificación y cancelación de datos personales en ficheros públicos. En Andalucía hay 36.476 ficheros de titularidad privada, de los que 7.686 están en Sevilla. Los ficheros de titularidad pública en Andalucía son 283. Sólo la Administración Local tiene en Sevilla 110 ficheros de titularidad pública.
Fuente:ABC
Fecha: 04/07/2011
La memoria 2010 de la Agencia de Protección de Datos, al frente de la cual está Artemi Rallo, informa que el pasado año se presentaron en España 4.220 denuncias por infracción de esa norma, de las que 582 fueron en Andalucía, lo que representa 14% del total. Sevilla, con 174 denuncias, lidera el ranking de las provincias andaluzas, seguida de Málaga (119) y Cádiz (74).
En cuanto a las empresas sancionadas en 2010, la Agencia de Protección de Datos impuso 45 multas por infracciones leves y graves en Andalucía: 14 en Sevilla, 11 en Málaga, 6 en Almería, 5 en Jaén, 3 en Cádiz y 2 en Huelva, Córdoba y Granada. En lo que respecta a las administraciones públicas infractoras, la Agencia de Protección de Datos dio un tirón de orejas a tres administraciones en Sevilla, una de ellas la Universidad Hispalense. Cuando las infracciones son cometidas en ficheros de titularidad pública, la Ley establece que la Agencia de Protección de Datos puede dictar una resolución estableciendo las medidas necesarias para que cesen o corrijan esas irregularidades, pudiendo establecer actuaciones disciplinarias sin procedieran y comunicarlo al Defensor del Pueblo.
D En el cómputo glogal de España, un 63,14% de las sanciones a empresas fueron por infracciones graves, mientras que un 34,4% fueron leves y un 2,50& muy graves. Por sectores, la mayoría de las expedientes sancionadores se abrieron por actividades de telecomunicaciones, videovigilancia, entidades financieras a administracones públicas y servicios de internet. Otros sectores en los que se han incrementado las denuncias son los servicios de internet y publicidad, así como los de prospección comercial (excepto spam), fuerzas y cuerpos de seguridad y empresas de suministro (gas, electricidad y agua). Además, se han dolabdo el número de denuncias referidas a las actuaciones de los sindicatos en el uso de datos de carácter personal. En lo que respecta a las declaraciones de infracciones de las administraciones, el 41% de las administraciones apercibidas fueron ayuntamientos y el 28,5% fueron del Estado; el 27% fueron gobiernos autónomicos. La mayoría de las consultas que recibió la Agencia
de Protección de Datos fue por cesión de datos personales; uso de ficheros públicos, falta de consentimiento para usar datos privados; medidas de seguridad, calidad de los datos y derechos de rectificación y cancelación de datos personales en ficheros públicos. En Andalucía hay 36.476 ficheros de titularidad privada, de los que 7.686 están en Sevilla. Los ficheros de titularidad pública en Andalucía son 283. Sólo la Administración Local tiene en Sevilla 110 ficheros de titularidad pública.
Fuente:ABC
Fecha: 04/07/2011
La empresa Fundosa, sancionada con 6.000 euros por difundir datos de clientes de Sevici
La Agencia de Protección de Datos sancionó en 2010 a 14 empresas en Sevilla y apercibió a tres administraciones públicas en la provincia por infringir la Ley de Protección de Datos al permitir que datos privados fueran difundidos sin consentimiento, ya fuera a través de internet o de cartas enviadas por error, entre otros medios.
Una de las empresas sancionadas en 2010 fue Fundosa Control de Datos y Servicios, encargada de dar de alta a los clientes de la empresa El Mobiliario Urbano, que a su vez es responsable de la gestión, suministro, instalación y mantenimiento del servicio de alquiler de bicicletas del Ayuntamiento de Sevilla (Sevici). La denuncia la presentó un cliente de Sevici que rellenó el formulario disponible en internet para darse de alta, formulario que exigía datos personales y bancarios. Con posterioridad, la empresa le remitió a su domicilio el formulario de suscripción y datos bancarios de una tercera persona. Por ese motivo, el denunciante contactó con la persona que figuraba en el formulario que le enviaron, quien le comunicó que también había recibido el formulario de otro titular. La Agencia de Protección de Datos se puso en contacto con El Mobiliario Urbano, que le informa que Fundosa se ocupaba del envío de notificaciones a sus clientes. La Agencia abrió un expediente a Fundosa, proponiendo una sanción de 60.101 euros por una infracción grave. Fundosa se defendió diciendo que un «error humano» propició que los formularios cumplimentados y enviados no se corespondieran con el destinatario de la carta. Finalmente, la sanción quedó en 6.000 euros por una infracción del artículo 10, que establece que «el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo».
También en 2010 fue denunciada la Universidad de Sevilla por hacer visible en el buscador Google una solicitud de intercambio de una estudiante del Instituto de Idiomas, formulario que se cumplimentó a través de la herramienta de la página web de ese organismo. Tras rellenar el formulario, la estudiante comprobó que todos los datos estaban accesibles en Google para cualquiera que pusiera su nombre completo, razón por la que la Agencia de Protección de Datos abrió un procedimiento de infracción, que llevó a la Universidad a rectificar el sistema utilizado para el programa de intercambios del Instituto de Idiomas.
La Agencia de Protección de Datos ha abierto este año un expediente sancionador a la empresa Receco —propietaria de cinco cafeterías y bares en la Estación Santa Justa— después de que aparecieran tirados en el Canal de los Presos cientos de currículos con datos personales de solicitantes de empleo. En los curriculos, la mayoría de mujeres jóvenes, figuraban fotos, direcciones, teléfonos móviles, estudios acádémicos, experiencia profesional y otros datos.
fuente:ABC
Fecha: 03/07/2011
Una de las empresas sancionadas en 2010 fue Fundosa Control de Datos y Servicios, encargada de dar de alta a los clientes de la empresa El Mobiliario Urbano, que a su vez es responsable de la gestión, suministro, instalación y mantenimiento del servicio de alquiler de bicicletas del Ayuntamiento de Sevilla (Sevici). La denuncia la presentó un cliente de Sevici que rellenó el formulario disponible en internet para darse de alta, formulario que exigía datos personales y bancarios. Con posterioridad, la empresa le remitió a su domicilio el formulario de suscripción y datos bancarios de una tercera persona. Por ese motivo, el denunciante contactó con la persona que figuraba en el formulario que le enviaron, quien le comunicó que también había recibido el formulario de otro titular. La Agencia de Protección de Datos se puso en contacto con El Mobiliario Urbano, que le informa que Fundosa se ocupaba del envío de notificaciones a sus clientes. La Agencia abrió un expediente a Fundosa, proponiendo una sanción de 60.101 euros por una infracción grave. Fundosa se defendió diciendo que un «error humano» propició que los formularios cumplimentados y enviados no se corespondieran con el destinatario de la carta. Finalmente, la sanción quedó en 6.000 euros por una infracción del artículo 10, que establece que «el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo».
También en 2010 fue denunciada la Universidad de Sevilla por hacer visible en el buscador Google una solicitud de intercambio de una estudiante del Instituto de Idiomas, formulario que se cumplimentó a través de la herramienta de la página web de ese organismo. Tras rellenar el formulario, la estudiante comprobó que todos los datos estaban accesibles en Google para cualquiera que pusiera su nombre completo, razón por la que la Agencia de Protección de Datos abrió un procedimiento de infracción, que llevó a la Universidad a rectificar el sistema utilizado para el programa de intercambios del Instituto de Idiomas.
La Agencia de Protección de Datos ha abierto este año un expediente sancionador a la empresa Receco —propietaria de cinco cafeterías y bares en la Estación Santa Justa— después de que aparecieran tirados en el Canal de los Presos cientos de currículos con datos personales de solicitantes de empleo. En los curriculos, la mayoría de mujeres jóvenes, figuraban fotos, direcciones, teléfonos móviles, estudios acádémicos, experiencia profesional y otros datos.
fuente:ABC
Fecha: 03/07/2011
La LOPD ha sido incorrectamente desarrollada según la UE
Importante logro de la Asociación Española de la Economía Digital (adigital) en materia de protección de datos
Esta resolución parte de un recurso planteado por adigital en el año 2008 contra el Reglamento de Protección de Datos
A instancias de la Asociación Española de la Economía Digital (adigital), que representa a más de 500 empresas pertenecientes al ámbito de la economía digital, el Tribunal de Justicia de la Unión Europea ha establecido en una reciente sentencia, de 24 de noviembre, que la normativa española de protección de datos (Ley Orgánica de Protección de Datos – LOPD) no ha sido correctamente desarrollada.
La sentencia considera que el Reglamento español se ha excedido respecto a lo dispuesto en la Directiva Europea 95/46 al incluir un requisito adicional, no contemplado en dicho texto. En concreto, la norma española determina que para poder realizar un tratamiento de datos, además de que tenga que existir un interés legítimo, exige que estos datos figuren en fuentes accesibles al público, exigencia que no aparece en la Directiva de la que emana y que ahora corrige el Tribunal europeo.
La Directiva permite que se pueda realizar tratamientos de datos cuando exista el consentimiento de los interesados o cuando exista un interés legítimo de la entidad que trate los datos, siempre y cuando no se vulneren los derechos y libertades de los afectados.
El Tribunal manifiesta que la sentencia tiene un doble objetivo, por un lado, garantizar un alto nivel de salvaguarda del derecho a la protección de datos y, por otro, armonizar las normas existentes en todos los países europeos, eliminando así los posibles obstáculos que puedan existir en las diferentes legislaciones nacionales.
Asimismo, la sentencia concluye que la Directiva sí consiente que los Estados Miembros puedan establecer criterios que permitan realizar una ponderación entre el interés legítimo, que pueda existir para realizar un determinado tratamiento de datos, y los derechos y libertades de las personas afectadas por este tratamiento, que deberán ser valorados, en cada caso concreto, por los órganos que apliquen la norma.
Esta sentencia viene a refrendar la denuncia que adigital ha venido planteando desde hace años sobre la situación en la que se encuentran las empresas españolas respecto a las empresas de su entorno europeo más próximo.
Según Elena Gómez del Pozuelo, presidenta de la Asociación, “nuestras empresas se han visto sometidas a una legislación que, además de ser la que ha establecido y aplicado las sanciones más elevadas, es más restrictiva que la del resto de países de la Unión Europea, al fijar unos requisitos que no se contemplan ni en la Directiva y que el propio Tribunal así ha venido a reconocer. Ello ha significado el establecimiento de barreras a la innovación y desarrollo que han lastrado durante más de una década gravemente la competitividad de las compañías establecidas en España, una situación especialmente grave en un momento económico como el actual”.
En consecuencia, a tenor de esta sentencia, adigital considera que es de esperar que en un corto plazo de tiempo el Tribunal Supremo pueda llegar anular o realice una interpretación en este mismo sentido de los artículos del Reglamento afectados por la sentencia y más adelante, en su caso, se pueda llegar a proponer una reforma de la Ley que supere las barreras planteadas y ayude al progreso de la economía española.
Fuente: adigital
Fecha: 25/11/2011
Esta resolución parte de un recurso planteado por adigital en el año 2008 contra el Reglamento de Protección de Datos
A instancias de la Asociación Española de la Economía Digital (adigital), que representa a más de 500 empresas pertenecientes al ámbito de la economía digital, el Tribunal de Justicia de la Unión Europea ha establecido en una reciente sentencia, de 24 de noviembre, que la normativa española de protección de datos (Ley Orgánica de Protección de Datos – LOPD) no ha sido correctamente desarrollada.
La sentencia considera que el Reglamento español se ha excedido respecto a lo dispuesto en la Directiva Europea 95/46 al incluir un requisito adicional, no contemplado en dicho texto. En concreto, la norma española determina que para poder realizar un tratamiento de datos, además de que tenga que existir un interés legítimo, exige que estos datos figuren en fuentes accesibles al público, exigencia que no aparece en la Directiva de la que emana y que ahora corrige el Tribunal europeo.
La Directiva permite que se pueda realizar tratamientos de datos cuando exista el consentimiento de los interesados o cuando exista un interés legítimo de la entidad que trate los datos, siempre y cuando no se vulneren los derechos y libertades de los afectados.
El Tribunal manifiesta que la sentencia tiene un doble objetivo, por un lado, garantizar un alto nivel de salvaguarda del derecho a la protección de datos y, por otro, armonizar las normas existentes en todos los países europeos, eliminando así los posibles obstáculos que puedan existir en las diferentes legislaciones nacionales.
Asimismo, la sentencia concluye que la Directiva sí consiente que los Estados Miembros puedan establecer criterios que permitan realizar una ponderación entre el interés legítimo, que pueda existir para realizar un determinado tratamiento de datos, y los derechos y libertades de las personas afectadas por este tratamiento, que deberán ser valorados, en cada caso concreto, por los órganos que apliquen la norma.
Esta sentencia viene a refrendar la denuncia que adigital ha venido planteando desde hace años sobre la situación en la que se encuentran las empresas españolas respecto a las empresas de su entorno europeo más próximo.
Según Elena Gómez del Pozuelo, presidenta de la Asociación, “nuestras empresas se han visto sometidas a una legislación que, además de ser la que ha establecido y aplicado las sanciones más elevadas, es más restrictiva que la del resto de países de la Unión Europea, al fijar unos requisitos que no se contemplan ni en la Directiva y que el propio Tribunal así ha venido a reconocer. Ello ha significado el establecimiento de barreras a la innovación y desarrollo que han lastrado durante más de una década gravemente la competitividad de las compañías establecidas en España, una situación especialmente grave en un momento económico como el actual”.
En consecuencia, a tenor de esta sentencia, adigital considera que es de esperar que en un corto plazo de tiempo el Tribunal Supremo pueda llegar anular o realice una interpretación en este mismo sentido de los artículos del Reglamento afectados por la sentencia y más adelante, en su caso, se pueda llegar a proponer una reforma de la Ley que supere las barreras planteadas y ayude al progreso de la economía española.
Fuente: adigital
Fecha: 25/11/2011
¿Videovigilancia sin control?
Hoy en día vivimos en un mundo dominado por la imagen y preocupado por la seguridad, por lo que es creciente el uso de videocámaras en espacios públicos y privados para fines tan dispares como la vigilancia, el control laboral de asistencia, la comprobación del estado de las carreteras, la promoción turística o el simple estado del tiempo.
Asimismo, la generalización del acceso a Internet ha aumentado las posibilidades de difusión de las imágenes tomadas, cuyo tratamiento como dato personal les confiere la condición de derecho fundamental autónomo, según reconoce el Tribunal Constitucional.
La Ley Orgánica 4/1997, de 4 de agosto, y su Reglamento, regulan el uso de videocámaras por las fuerzas y cuerpos de seguridad en espacios públicos, pero no la utilización por otros entes públicos o particulares. Ni la Ley 23/1992, de 30 de julio, de Seguridad Privada ni su Reglamento establecen disposiciones concretas sobre la protección de los datos personales. Sólo el acceso a edificios, casinos, salas de bingo, entidades financieras o espacios deportivos cuentan con disposiciones específicas.
La Agencia de Protección de Datos (APD) dictó, en un intento de colmar esta laguna, la Instrucción 1/2006, de 8 de noviembre, sobre tratamiento de los datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, con expresa exclusión del ámbito personal y doméstico. Su limitado alcance genera frecuentes controversias que la APD trata de salvar resolviendo el goteo de consultas que se le formulan al amparo de la normativa general en materia de protección de datos: la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter Personal (LOPD) y su Reglamento de desarrollo.
¿Cuáles son sin embargo los límites del uso de videocámaras fuera del ámbito de la videovigilancia con fines de seguridad? ¿Qué control tenemos sobre nuestra imagen? Ni siquiera en la esfera privada el uso de videocámaras puede ser indiscriminado. Tres máximas deben ser respetadas: la proporcionalidad, la idoneidad y la mínima intervención.
En el ámbito laboral, el uso de videocámaras ha sido muy polémico. El artículo 20 del Estatuto de los Trabajadores faculta al empresario a adoptar las medidas de vigilancia y control que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones laborales, con el límite de la "dignidad humana".
La captación de imágenes debe estar justificada y su finalidad -como la promocional- claramente determinada. A falta de una disposición que legitime su tratamiento, es necesario obtener el consentimiento de los trabajadores, previamente informados de su finalidad y alcance. Asimismo, será necesaria la previa inscripción del fichero en la APD, si no sólo se emiten las imágenes en tiempo real sino que además se graban.
No hay que obviar que prácticas como alejar el enfoque de las cámaras para no distinguir la identidad de los trabajadores puede no ser suficiente, al proteger la LOPD "cualquier información concerniente a personas físicas identificadas o identificables". El citado principio de proporcionalidad, además de otros más elevados como la intimidad y dignidad, veda ciertos espacios -baños, vestuarios o comedores- e impiden, por ejemplo, la grabación de conversaciones privadas.
Por su parte, en el ámbito escolar es cada vez más frecuente que colegios y guarderías empleen videocámaras, ya no con fines de seguridad -como hurtos, violencia o acoso escolar- regulados en la citada Instrucción 1/2006 de la APD, sino para otros como el control de absentismo, satisfacer el ansia de los padres de conocer lo que hacen sus hijos en las aulas o patios o incluso la promoción del propio centro.
En estos casos es indispensable fijar la finalidad de la captación de imágenes, informar clara y exhaustivamente a los padres o representantes de los menores y al personal del centro afectado, recabar su consentimiento inequívoco y dotar de especial seguridad al acceso online a las imágenes, definiendo bien los perfiles de acceso. Así, si la finalidad es el seguimiento paterno de la actividad de los niños, parece lógico que se limite al aula o patio en el que se encuentren.
Cabe resaltar que todo lo anterior es válido para la difusión de imágenes de monumentos, playas, pistas de esquí u otros enclaves con fines de difusión o de promoción turística o el uso de cámaras para analizar la conducta de las personas para fines científicos o sociológicos, siempre que las mismas estén identificadas o sean identificables. La dificultad práctica de recabar el consentimiento individual de los afectados es evidente en estos casos.
Precisamente por ello, en el caso de reuniones de asociaciones, sociedades u otros entes con personalidad jurídica, para evitar que la grabación de sus sesiones deba de ser en cada ocasión expresamente consentida por todos sus miembros, se aconseja su previsión en los respectivos Estatutos, de obligado cumplimiento y cuyo contenido se presume conocido por aquéllos.
Por todo lo anterior, se echa en falta una regulación de la APD semejante a la que la Instrucción 1/2006 prevé para el tratamiento de los datos personales con fines de vigilancia, que dé respuesta a supuestos como los comentados. Mientras tanto, lo que se aconseja es la aplicación de dicha Instrucción, cuyos principios se entienden plenamente como válidos, en particular los de calidad, proporcionalidad, secreto y debida informa.
Fuente: El Economista
Fecha: 25/11/2011
Asimismo, la generalización del acceso a Internet ha aumentado las posibilidades de difusión de las imágenes tomadas, cuyo tratamiento como dato personal les confiere la condición de derecho fundamental autónomo, según reconoce el Tribunal Constitucional.
La Ley Orgánica 4/1997, de 4 de agosto, y su Reglamento, regulan el uso de videocámaras por las fuerzas y cuerpos de seguridad en espacios públicos, pero no la utilización por otros entes públicos o particulares. Ni la Ley 23/1992, de 30 de julio, de Seguridad Privada ni su Reglamento establecen disposiciones concretas sobre la protección de los datos personales. Sólo el acceso a edificios, casinos, salas de bingo, entidades financieras o espacios deportivos cuentan con disposiciones específicas.
La Agencia de Protección de Datos (APD) dictó, en un intento de colmar esta laguna, la Instrucción 1/2006, de 8 de noviembre, sobre tratamiento de los datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, con expresa exclusión del ámbito personal y doméstico. Su limitado alcance genera frecuentes controversias que la APD trata de salvar resolviendo el goteo de consultas que se le formulan al amparo de la normativa general en materia de protección de datos: la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter Personal (LOPD) y su Reglamento de desarrollo.
¿Cuáles son sin embargo los límites del uso de videocámaras fuera del ámbito de la videovigilancia con fines de seguridad? ¿Qué control tenemos sobre nuestra imagen? Ni siquiera en la esfera privada el uso de videocámaras puede ser indiscriminado. Tres máximas deben ser respetadas: la proporcionalidad, la idoneidad y la mínima intervención.
En el ámbito laboral, el uso de videocámaras ha sido muy polémico. El artículo 20 del Estatuto de los Trabajadores faculta al empresario a adoptar las medidas de vigilancia y control que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones laborales, con el límite de la "dignidad humana".
La captación de imágenes debe estar justificada y su finalidad -como la promocional- claramente determinada. A falta de una disposición que legitime su tratamiento, es necesario obtener el consentimiento de los trabajadores, previamente informados de su finalidad y alcance. Asimismo, será necesaria la previa inscripción del fichero en la APD, si no sólo se emiten las imágenes en tiempo real sino que además se graban.
No hay que obviar que prácticas como alejar el enfoque de las cámaras para no distinguir la identidad de los trabajadores puede no ser suficiente, al proteger la LOPD "cualquier información concerniente a personas físicas identificadas o identificables". El citado principio de proporcionalidad, además de otros más elevados como la intimidad y dignidad, veda ciertos espacios -baños, vestuarios o comedores- e impiden, por ejemplo, la grabación de conversaciones privadas.
Por su parte, en el ámbito escolar es cada vez más frecuente que colegios y guarderías empleen videocámaras, ya no con fines de seguridad -como hurtos, violencia o acoso escolar- regulados en la citada Instrucción 1/2006 de la APD, sino para otros como el control de absentismo, satisfacer el ansia de los padres de conocer lo que hacen sus hijos en las aulas o patios o incluso la promoción del propio centro.
En estos casos es indispensable fijar la finalidad de la captación de imágenes, informar clara y exhaustivamente a los padres o representantes de los menores y al personal del centro afectado, recabar su consentimiento inequívoco y dotar de especial seguridad al acceso online a las imágenes, definiendo bien los perfiles de acceso. Así, si la finalidad es el seguimiento paterno de la actividad de los niños, parece lógico que se limite al aula o patio en el que se encuentren.
Cabe resaltar que todo lo anterior es válido para la difusión de imágenes de monumentos, playas, pistas de esquí u otros enclaves con fines de difusión o de promoción turística o el uso de cámaras para analizar la conducta de las personas para fines científicos o sociológicos, siempre que las mismas estén identificadas o sean identificables. La dificultad práctica de recabar el consentimiento individual de los afectados es evidente en estos casos.
Precisamente por ello, en el caso de reuniones de asociaciones, sociedades u otros entes con personalidad jurídica, para evitar que la grabación de sus sesiones deba de ser en cada ocasión expresamente consentida por todos sus miembros, se aconseja su previsión en los respectivos Estatutos, de obligado cumplimiento y cuyo contenido se presume conocido por aquéllos.
Por todo lo anterior, se echa en falta una regulación de la APD semejante a la que la Instrucción 1/2006 prevé para el tratamiento de los datos personales con fines de vigilancia, que dé respuesta a supuestos como los comentados. Mientras tanto, lo que se aconseja es la aplicación de dicha Instrucción, cuyos principios se entienden plenamente como válidos, en particular los de calidad, proporcionalidad, secreto y debida informa.
Fuente: El Economista
Fecha: 25/11/2011
Convocatorias navideñas y LOPD: cuidado con los datos que manejamos
Con la cercanía de la Navidad se acumulan las fiestas, comidas y convocatorias varias. Cuidado, porque estamos realizando un proceso de tratamiento de datos, y podríamos incurrir en un delito sancionado por la LOPD.
Llega la Navidad, y con ella las reuniones de familias, amigos, y compañeros de promoción, de cursos o de trabajo. Para ello es habitual que con motivo de la reunión, alguien del grupo, o una comisión creada al efecto, se dedique a contactar con todos para citarse en un sitio y una fecha concreta y celebrar el evento preparado.
Hasta aquí el procedimiento nos suena habitual, y en principio no tiene nada de particular. Hasta que a la Agencia Española de Protección de Datos (AEPD) se le ocurrió indagar sobre estos supuestos...
La AEPD concluyó que el tratamiento de los datos de los compañeros de promoción de una academia militar por parte de una comisión creada al efecto por varios colegas para la organización de una comida de confraternidad incumplía la Ley de protección de datos, y pretendía sancionar a los organizadores con una multa de 6.010,12 euros al no contar éstos con el consentimiento de los compañeros de promoción para el tratamiento de sus datos y crear un fichero con la finalidad de organizar el evento.
Esta situación conllevó que los organizadores fueran en un principio sancionados por la Agencia. El caso llegó a los tribunales, y la Audiencia Nacional se pronunció al respecto, dejando sin efecto la sanción impuesta. De la sentencia dictada se desprenden las siguientes conclusiones:
Origen de los datos
El origen de los datos de los compañeros es un elemento a tener en cuenta. No es lo mismo que los datos sean recabados del colegio, academia, o empresa; o que los datos se recojan de las agendas personales de los propios compañeros. Si fuesen recogidos de las agendas de los compañeros, la Audiencia Nacional entiende que se trata de un tratamiento con fines personales o domésticos, y por tanto estaría exento de la aplicación de la ley de protección de datos, por la aplicación del artículo 2.2.a) de esta misma ley.
La cesión de los mismos a terceros para la organización del evento podría incluirse por tanto en este supuesto.
Si por el contrario los datos fuesen recabados de las entidades enunciadas anteriormente, la situación se complica. En este caso no podríamos hablar de tratamientos con fines personales o domésticos, y la entidad organizadora o cedente de los datos tendría que tener el consentimiento del titular de los mismos para el tratamiento con la finalidad concreta de organización de eventos, fiestas… Y además el consentimiento para la cesión de estos datos a otros compañeros o empresas que se puedan contratar para la organización del evento, identificando en lo posible a los mismos, o como mínimo la rama de actividad de las empresas cesionarias de los datos.
Concepto de tratamiento
El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. Según la Agencia de Protección de Datos, en este caso quedó acreditado que la citada comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos, e incluso cancelación, lo que acredita la existencia de tratamiento de datos.
Efectivamente para la organización del efecto se realizó un tratamiento de datos, pero según la Audiencia Nacional, “El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente… tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).”
Por todo lo expuesto os recomendamos que antes de organizar una cena o comida de empresa, de amigos o de familia, tengamos en cuenta que estamos realizando un tratamiento de datos, y que el mismo debe ajustarse a lo dispuesto en la Ley Orgánica de Protección de Datos, sea por su sujeción, o para la exención del mismo por la propia Ley.
Que paséis buenas fiestas.
Fuente: Baquia
Fecha: 24/11/2011
Llega la Navidad, y con ella las reuniones de familias, amigos, y compañeros de promoción, de cursos o de trabajo. Para ello es habitual que con motivo de la reunión, alguien del grupo, o una comisión creada al efecto, se dedique a contactar con todos para citarse en un sitio y una fecha concreta y celebrar el evento preparado.
Hasta aquí el procedimiento nos suena habitual, y en principio no tiene nada de particular. Hasta que a la Agencia Española de Protección de Datos (AEPD) se le ocurrió indagar sobre estos supuestos...
La AEPD concluyó que el tratamiento de los datos de los compañeros de promoción de una academia militar por parte de una comisión creada al efecto por varios colegas para la organización de una comida de confraternidad incumplía la Ley de protección de datos, y pretendía sancionar a los organizadores con una multa de 6.010,12 euros al no contar éstos con el consentimiento de los compañeros de promoción para el tratamiento de sus datos y crear un fichero con la finalidad de organizar el evento.
Esta situación conllevó que los organizadores fueran en un principio sancionados por la Agencia. El caso llegó a los tribunales, y la Audiencia Nacional se pronunció al respecto, dejando sin efecto la sanción impuesta. De la sentencia dictada se desprenden las siguientes conclusiones:
Origen de los datos
El origen de los datos de los compañeros es un elemento a tener en cuenta. No es lo mismo que los datos sean recabados del colegio, academia, o empresa; o que los datos se recojan de las agendas personales de los propios compañeros. Si fuesen recogidos de las agendas de los compañeros, la Audiencia Nacional entiende que se trata de un tratamiento con fines personales o domésticos, y por tanto estaría exento de la aplicación de la ley de protección de datos, por la aplicación del artículo 2.2.a) de esta misma ley.
La cesión de los mismos a terceros para la organización del evento podría incluirse por tanto en este supuesto.
Si por el contrario los datos fuesen recabados de las entidades enunciadas anteriormente, la situación se complica. En este caso no podríamos hablar de tratamientos con fines personales o domésticos, y la entidad organizadora o cedente de los datos tendría que tener el consentimiento del titular de los mismos para el tratamiento con la finalidad concreta de organización de eventos, fiestas… Y además el consentimiento para la cesión de estos datos a otros compañeros o empresas que se puedan contratar para la organización del evento, identificando en lo posible a los mismos, o como mínimo la rama de actividad de las empresas cesionarias de los datos.
Concepto de tratamiento
El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. Según la Agencia de Protección de Datos, en este caso quedó acreditado que la citada comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos, e incluso cancelación, lo que acredita la existencia de tratamiento de datos.
Efectivamente para la organización del efecto se realizó un tratamiento de datos, pero según la Audiencia Nacional, “El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente… tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).”
Por todo lo expuesto os recomendamos que antes de organizar una cena o comida de empresa, de amigos o de familia, tengamos en cuenta que estamos realizando un tratamiento de datos, y que el mismo debe ajustarse a lo dispuesto en la Ley Orgánica de Protección de Datos, sea por su sujeción, o para la exención del mismo por la propia Ley.
Que paséis buenas fiestas.
Fuente: Baquia
Fecha: 24/11/2011
Protección de Datos autoriza a conservar los personales con fines históricos
La Agencia Española de Protección de Datos (AEPD) ha autorizado por primera vez la conservación de datos personales con fines históricos.
Así lo ha establecido la AEPD en una resolución que ha dictado en respuesta a la solicitud de una organización sindical para conservar los datos, con fines históricos, tanto de sus afiliados como de sus representantes sindicales, contenidos en sus ficheros.
Con carácter general, según informa la AEPD, la Ley Orgánica de Protección de Datos (LOPD) establece -en su artículo 4.5- que los datos personales deben ser cancelados cuando dejen de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No obstante, la normativa de protección de datos prevé de forma excepcional que la AEPD pueda acordar mantener determinados datos si se justifica la existencia de valores históricos, estadísticos o científicos de acuerdo con la legislación específica.
El procedimiento de autorización para la conservación de datos con fines históricos, científicos o estadísticos está regulado en el artículo 157 del Reglamento de desarrollo de la LOPD.
Y exige, además de motivar la petición, identificar los datos que se pretenden conservar y detallar las medidas para garantizar los derechos de los titulares de los mismos.
Con esta primera resolución de autorización dictada por la AEPD, se determina la concurrencia de valores históricos que justifican la conservación fundados en las motivaciones aportadas por la organización sindical.
El sindicato ampara su solicitud en artículo 49 de la Ley del Patrimonio Histórico Español, así como en el hecho de que se trata de una organización sindical fundada en el año 1888 "cuyas actuaciones han formado parte de la historia de España en mayor o menor medida, involucrando en ocasiones a personas que ya forman parte de la historia del país".
Fuente: El Correo
Fecha: 21/11/2011
Así lo ha establecido la AEPD en una resolución que ha dictado en respuesta a la solicitud de una organización sindical para conservar los datos, con fines históricos, tanto de sus afiliados como de sus representantes sindicales, contenidos en sus ficheros.
Con carácter general, según informa la AEPD, la Ley Orgánica de Protección de Datos (LOPD) establece -en su artículo 4.5- que los datos personales deben ser cancelados cuando dejen de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No obstante, la normativa de protección de datos prevé de forma excepcional que la AEPD pueda acordar mantener determinados datos si se justifica la existencia de valores históricos, estadísticos o científicos de acuerdo con la legislación específica.
El procedimiento de autorización para la conservación de datos con fines históricos, científicos o estadísticos está regulado en el artículo 157 del Reglamento de desarrollo de la LOPD.
Y exige, además de motivar la petición, identificar los datos que se pretenden conservar y detallar las medidas para garantizar los derechos de los titulares de los mismos.
Con esta primera resolución de autorización dictada por la AEPD, se determina la concurrencia de valores históricos que justifican la conservación fundados en las motivaciones aportadas por la organización sindical.
El sindicato ampara su solicitud en artículo 49 de la Ley del Patrimonio Histórico Español, así como en el hecho de que se trata de una organización sindical fundada en el año 1888 "cuyas actuaciones han formado parte de la historia de España en mayor o menor medida, involucrando en ocasiones a personas que ya forman parte de la historia del país".
Fuente: El Correo
Fecha: 21/11/2011
La Agencia de Protección de Datos multa a la comunidad de Fase Cumbres de Calicanto
La Agencia de Protección de Datos ha multado a dicha fase con una multa de 1.200 euros por el uso de información privada de los vecinos. La resolución R/02532/2011: emitida este pasado día 14 de noviembre responde a una de las 18 denuncias presentadas, y que representaba a 119 vecinos, condena la exposición en un tablón en la vía pública unos listados con los supuestos deudores de la urbanización.
La resolución señala que la exposición se realizó en una vía pública de acceso libre y no en la sede social. En base a ello inicia procedimiento sancionador a la comunidad de propietarios Fase Cumbres de Calicanto por la presunta infracción del artículo 10 de la ley orgánica de Protección de Datos (LOPD) con carácter leve. La resolución, si bien indica que es legítimo exponer el nombre y deuda de los morosos en el tablón social después de haber sido imposible la comunicación certificada, señala que esta nunca puede estar a la vista de terceras personas.
También señala resolución que las actas con esos datos estuvieron un tiempo excesivo, ya que se colocaron en julio de 2010 y seguían expuestas en enero de 2011. Y continúa diciendo que "no existe causa que justifique la exposición en el tablón de anuncios de los datos como deudores de los denunciantes pues no ha resultado acreditado que dicha exposición responda a un intento infructuoso de notificación a sus integrantes, ni es un lugar conveniente para ello, al existir otro espacio dispuesto para ello, no siendo tampoco apto ni proporcional al fin, un espacio en la vía pública ya que posibilita que pueda ser visto por terceros".
La tensión en la fase Cumbres se vive desde hace varios años. En esa fase existen 1080 parcelas con alrededor de 800 titulares. En este tiempo se han sucedido sentencias a favor y en contra de la asociación y vecinos, si estos últimos han recibido varias resoluciones a su favor contra los monitorios al considerarse que algunos de los servicios por los que se reclamaba el pago no eran competencia de la urbanización.
La Fase Cumbres deberá hacer efectiva la sanción en los términos y plazos legales" o se procederá a su recaudación antes del 5 de enero de 2012 que se hará pública en la web de la A.E.P.D. como es habitual "sobre publicación de sus Resoluciones".
Contra esta resolución, que pone fin a la vía administrativa, los interesados podrán interponer recurso de reposición en el plazo de un mes o directamente recurso contencioso administrativo en el plazo de dos meses.
Fuente: La Opinión de Torrent
Fecha: 18/11/2011
La resolución señala que la exposición se realizó en una vía pública de acceso libre y no en la sede social. En base a ello inicia procedimiento sancionador a la comunidad de propietarios Fase Cumbres de Calicanto por la presunta infracción del artículo 10 de la ley orgánica de Protección de Datos (LOPD) con carácter leve. La resolución, si bien indica que es legítimo exponer el nombre y deuda de los morosos en el tablón social después de haber sido imposible la comunicación certificada, señala que esta nunca puede estar a la vista de terceras personas.
También señala resolución que las actas con esos datos estuvieron un tiempo excesivo, ya que se colocaron en julio de 2010 y seguían expuestas en enero de 2011. Y continúa diciendo que "no existe causa que justifique la exposición en el tablón de anuncios de los datos como deudores de los denunciantes pues no ha resultado acreditado que dicha exposición responda a un intento infructuoso de notificación a sus integrantes, ni es un lugar conveniente para ello, al existir otro espacio dispuesto para ello, no siendo tampoco apto ni proporcional al fin, un espacio en la vía pública ya que posibilita que pueda ser visto por terceros".
La tensión en la fase Cumbres se vive desde hace varios años. En esa fase existen 1080 parcelas con alrededor de 800 titulares. En este tiempo se han sucedido sentencias a favor y en contra de la asociación y vecinos, si estos últimos han recibido varias resoluciones a su favor contra los monitorios al considerarse que algunos de los servicios por los que se reclamaba el pago no eran competencia de la urbanización.
La Fase Cumbres deberá hacer efectiva la sanción en los términos y plazos legales" o se procederá a su recaudación antes del 5 de enero de 2012 que se hará pública en la web de la A.E.P.D. como es habitual "sobre publicación de sus Resoluciones".
Contra esta resolución, que pone fin a la vía administrativa, los interesados podrán interponer recurso de reposición en el plazo de un mes o directamente recurso contencioso administrativo en el plazo de dos meses.
Fuente: La Opinión de Torrent
Fecha: 18/11/2011
Protección de Datos multa a UGT Enseñanza por publicar las retribuciones de los empleados
La Agencia Española de Protección de Datos ha multado a la Federación Española de Trabajadores de la Enseñanza de UGT por dar publicidad de las retribuciones de los empleados, algo que está penado con una sanción grave.
El pasado 16 de junio la Agencia Española de Protección de Datos resolvió sancionando con 3.000 euros a la Federación Española de Trabajadores de la Enseñanza de UGT (FETE-UGT). La agencia consideró la publicidad de las retribuciones de los empleados como una sanción grave según lo establecido en el artículo 6.1 de la LOPD.
Los hechos fueron los siguientes: el 3 de marzo de 2010 a las 12:55 FETE UGT envía un correo electrónico a sus afiliados con el siguiente asunto: FETE informa al PAS. En dicho correo se adjuntaba un documento en el que se detallaban las gratificaciones acordadas por la Universidad Complutense de Madrid en el marco del programa Gratificaciones del Aula a Distancia y Abierta de la Comunidad de Madrid. En dicho documento se criticaba que las gratificaciones conllevaran la no renovación de contratos de personal y la reducción de plantilla. Se informaba de la cuantía general y se desglosaba persona a persona en seis casos. Exactamente los seis casos que se denunciaron ante la Agencia de Protección de Datos.
La Agencia abre expediente sancionador y reclama a las partes sus alegaciones. FETE UGT explica que la citada información forma parte de su actividad sindical, que la información fue destinada exclusivamente a sus afiliados y que en todo caso, se trataba de información accesible a todo trabajador de la UCM. Alega además que las gratificaciones forman parte de acuerdos del consejo de gobierno de la UCM, de naturaleza públicos. FETE-UGT también considera que aunque las gratificaciones publicadas eran de empleados, deben de asimilarse a la de funcionarios públicos.
La Agencia considera sin embargo que esa asimilación no se ajusta a la normativa y recuerda que en ningún caso hubo consentimiento de los denunciantes por lo que considera que la publicidad de sus retribuciones vulnera la Ley de Protección de Datos de manera grave y es sancionable con 3.000 euros. Esta es la propuesta de resolución del pasado 5 de abril ratificada posteriormente el 16 de junio.
Fuente: Intereconomia
Fecha: 17/11/2011
El pasado 16 de junio la Agencia Española de Protección de Datos resolvió sancionando con 3.000 euros a la Federación Española de Trabajadores de la Enseñanza de UGT (FETE-UGT). La agencia consideró la publicidad de las retribuciones de los empleados como una sanción grave según lo establecido en el artículo 6.1 de la LOPD.
Los hechos fueron los siguientes: el 3 de marzo de 2010 a las 12:55 FETE UGT envía un correo electrónico a sus afiliados con el siguiente asunto: FETE informa al PAS. En dicho correo se adjuntaba un documento en el que se detallaban las gratificaciones acordadas por la Universidad Complutense de Madrid en el marco del programa Gratificaciones del Aula a Distancia y Abierta de la Comunidad de Madrid. En dicho documento se criticaba que las gratificaciones conllevaran la no renovación de contratos de personal y la reducción de plantilla. Se informaba de la cuantía general y se desglosaba persona a persona en seis casos. Exactamente los seis casos que se denunciaron ante la Agencia de Protección de Datos.
La Agencia abre expediente sancionador y reclama a las partes sus alegaciones. FETE UGT explica que la citada información forma parte de su actividad sindical, que la información fue destinada exclusivamente a sus afiliados y que en todo caso, se trataba de información accesible a todo trabajador de la UCM. Alega además que las gratificaciones forman parte de acuerdos del consejo de gobierno de la UCM, de naturaleza públicos. FETE-UGT también considera que aunque las gratificaciones publicadas eran de empleados, deben de asimilarse a la de funcionarios públicos.
La Agencia considera sin embargo que esa asimilación no se ajusta a la normativa y recuerda que en ningún caso hubo consentimiento de los denunciantes por lo que considera que la publicidad de sus retribuciones vulnera la Ley de Protección de Datos de manera grave y es sancionable con 3.000 euros. Esta es la propuesta de resolución del pasado 5 de abril ratificada posteriormente el 16 de junio.
Fuente: Intereconomia
Fecha: 17/11/2011
Derecho al olvido en boletines oficiales en Internet
La publicación de los distintos boletines oficiales tiene como propósito dar publicidad, con fines de difusión y de manera que quede accesible al público para su consulta, de las normas y de aquellas otras disposiciones o actos que el ordenamiento jurídico considera que deben ser publicados. Esta información es considerada como un derecho democrático básico.
Entre la información publicada se encuentran normativa, nombramientos, situaciones e incidencias, oposiciones y concursos, notificaciones de la Administración de Justicia, anuncios oficiales y particulares, subastas y concursos de obras y servicios, y otras disposiciones.
En un primer momento estos boletines se publicaban en papel, y a pesar de su vocación de difusión en realidad eran pocas las personas o empresas que leían estos boletines, generalmente profesionales que en su labor diaria precisaban su consulta.
Pero con el desarrollo de las tecnologías de la información, estas publicaciones han entrado en Internet. Las distintas normas que regulan estos boletines reconocen la validez jurídica de la publicación de los mismos en su versión digital. Paulatinamente se ha ido sustituyendo la edición en papel por la edición digital, de consulta mas fácil, cómoda, y universal.
En estas publicaciones es habitual que se contengan datos de carácter personal como por ejemplo en notificaciones de la Administración de Justicia, anuncios, subastas, oposiciones y concursos.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, reconoce a estas publicaciones el carácter de fuentes accesibles al público, pudiendo ser consultadas, y utilizar la información contenida sin el consentimiento del titular de los datos, siempre que su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, y que no se vulneren los derechos y libertades fundamentales del interesado.
Todos conocemos la importante función que los buscadores de Internet realizan en la indagación de los datos e informaciones que el internauta precisa. Un buscador es una página Web en la que se puede consultar una base de datos en la que se relacionan direcciones de páginas Web con su contenido. Su uso facilita extraordinariamente la obtención de un listado de páginas Web que contienen información sobre el tema precisado.
Por lo tanto uniendo estas dos herramientas, boletines oficiales electrónicos y buscadores en Internet, es posible localizar los datos de cualquier persona cuyo nombre aparezca en los citados boletines, sea por el motivo que sea.
Proceso de vigilancia
Esto ha llevado a que los afectados se vean incursos en un proceso de vigilancia o escrutinio público que en ocasiones perjudica la imagen pública de esta persona. Es posible encontrar información de las infracciones administrativas y penales, puestos de trabajo de funcionarios, nombramientos, domicilios, e incluso he encontrado en alguna ocasión el lugar de celebración del matrimonio de una determinada persona.
Pero ¿es necesario que esta información aparezca de forma indefinida en la red?, ¿tiene el particular la obligación de soportar que sus datos personales puedan ser consultados y usados por todo el mundo?
La Agencia Española de Protección de datos, haciéndose eco de estas reclamaciones o reivindicaciones, se ha pronunciado en diversas ocasiones sobre esta situación. En este sentido El Gabinete Jurídico de la Agencia Española de Protección de Datos, en su Informe Jurídico 0214/2010 indica que “dado que el interesado ya se ha dado por notificado de los mencionados actos administrativos, objetivo que se pretendía con su publicación en los citados diarios oficiales, por parte de la Diputación Provincial de Córdoba y la Diputación Provincial de Cádiz, se dictaran las órdenes oportunas para limitar la indexación del nombre y apellidos de Don ……en los mencionados documentos mediante la incorporación de un código norobot.txt, con objeto de que en el futuro los motores de búsqueda de Internet no puedan asociarlo al interesado”. En este sentido no podemos obviar que la Agencia Española de Protección de Datos ya condenó a la Agencia Estatal BOE en RESOLUCIÓN Nº.: R/00078/2011 “instando a esta entidad para que adopte las medidas necesarias para evitar la indexación de los datos personales de la reclamante en sus páginas, con objeto de que en el futuro los motores de búsqueda de internet no puedan asociarlas a la reclamante”.
Igualmente en el procedimiento de tutela de derechos TD/266/2007 la Agencia Española de protección de datos manifiesta “… cabe proclamar que ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet. Si requerir el consentimiento individualizado de los ciudadanos para incluir sus datos personales en Internet o exigir mecanismos técnicos que impidieran o filtraran la incorporación inconsentida de datos personales podría suponer una insoportable barrera al libre ejercicio de las libertades de expresión e información a modo de censura previa (lo que resulta constitucionalmente proscrito), no es menos cierto que resulta palmariamente legítimo que el ciudadano que no esté obligado a someterse a la disciplina del ejercicio de las referidas libertades (por no resultar sus datos personales de interés público ni contribuir, en consecuencia, su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático) debe gozar de mecanismos reactivos amparados en Derecho (como el derecho de cancelación de datos de carácter personal) que impidan el mantenimiento secular y universal en la Red de su información de carácter personal”.
Como conclusión podemos decir que como regla general cualquier persona no debe soportar que sus datos personales queden accesibles de por vida en Internet como consecuencia de la inclusión de sus datos en los buscadores de referencia en este medio. Y por tanto debemos a distintas circunstancias:
- La finalidad por la que fueron publicados estos datos. Si ésta fue la de notificación al interesado de un determinado acto administrativo, una vez efectuada ésta, y transcurridos los plazos de ejercicio de los posibles recursos, la finalidad quedaría cumplida, y por tanto no sería necesario el mantenimiento de estos datos para su búsqueda a través de los buscadores.
- La condición de personaje público del titular de los datos, y que el hecho sea noticiable o de relevancia pública. En consecuencia cualquier persona o hecho que no reúna estas características no debería soportar por tiempo indefinido la inclusión de sus datos en Internet. Pero esta conclusión en mi opinión merece una crítica, y es que los hechos resultan noticiables en un determinado momento, dejando de tener este carácter pasado un tiempo. Y en este sentido si transcurrido un tiempo prudencial, la noticia siguiese apareciendo mediante su examen en los buscadores indicados, el afectado debería intentar la retirada de la información de los medios donde aparezca, o como mínimo se debería evitar encontrar los datos concretos a través de estos buscadores.
Consciente del hecho que la información no puede ser retirada de los Boletines Oficiales, la Agencia Española de Protección de datos propone la aplicación de medios técnicos que eviten que los buscadores puedan encontrar estos datos personales. Consistirán en la aplicación de programas norobot.txt. Éstos lo que hacen es dar instrucciones tanto a la página Web donde se encuentre la información, como a los propios buscadores para evitar que la misma pueda ser indexada. En consecuencia la programación de estos códigos debe efectuarla tanto la Web que incluye la información, como los buscadores. Además los buscadores deberían actualizar su caché[1] para que esta información no vuelva aparecer.
Fuente: Diariojuridico
Fecha: 14/11/2011
Entre la información publicada se encuentran normativa, nombramientos, situaciones e incidencias, oposiciones y concursos, notificaciones de la Administración de Justicia, anuncios oficiales y particulares, subastas y concursos de obras y servicios, y otras disposiciones.
En un primer momento estos boletines se publicaban en papel, y a pesar de su vocación de difusión en realidad eran pocas las personas o empresas que leían estos boletines, generalmente profesionales que en su labor diaria precisaban su consulta.
Pero con el desarrollo de las tecnologías de la información, estas publicaciones han entrado en Internet. Las distintas normas que regulan estos boletines reconocen la validez jurídica de la publicación de los mismos en su versión digital. Paulatinamente se ha ido sustituyendo la edición en papel por la edición digital, de consulta mas fácil, cómoda, y universal.
En estas publicaciones es habitual que se contengan datos de carácter personal como por ejemplo en notificaciones de la Administración de Justicia, anuncios, subastas, oposiciones y concursos.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, reconoce a estas publicaciones el carácter de fuentes accesibles al público, pudiendo ser consultadas, y utilizar la información contenida sin el consentimiento del titular de los datos, siempre que su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, y que no se vulneren los derechos y libertades fundamentales del interesado.
Todos conocemos la importante función que los buscadores de Internet realizan en la indagación de los datos e informaciones que el internauta precisa. Un buscador es una página Web en la que se puede consultar una base de datos en la que se relacionan direcciones de páginas Web con su contenido. Su uso facilita extraordinariamente la obtención de un listado de páginas Web que contienen información sobre el tema precisado.
Por lo tanto uniendo estas dos herramientas, boletines oficiales electrónicos y buscadores en Internet, es posible localizar los datos de cualquier persona cuyo nombre aparezca en los citados boletines, sea por el motivo que sea.
Proceso de vigilancia
Esto ha llevado a que los afectados se vean incursos en un proceso de vigilancia o escrutinio público que en ocasiones perjudica la imagen pública de esta persona. Es posible encontrar información de las infracciones administrativas y penales, puestos de trabajo de funcionarios, nombramientos, domicilios, e incluso he encontrado en alguna ocasión el lugar de celebración del matrimonio de una determinada persona.
Pero ¿es necesario que esta información aparezca de forma indefinida en la red?, ¿tiene el particular la obligación de soportar que sus datos personales puedan ser consultados y usados por todo el mundo?
La Agencia Española de Protección de datos, haciéndose eco de estas reclamaciones o reivindicaciones, se ha pronunciado en diversas ocasiones sobre esta situación. En este sentido El Gabinete Jurídico de la Agencia Española de Protección de Datos, en su Informe Jurídico 0214/2010 indica que “dado que el interesado ya se ha dado por notificado de los mencionados actos administrativos, objetivo que se pretendía con su publicación en los citados diarios oficiales, por parte de la Diputación Provincial de Córdoba y la Diputación Provincial de Cádiz, se dictaran las órdenes oportunas para limitar la indexación del nombre y apellidos de Don ……en los mencionados documentos mediante la incorporación de un código norobot.txt, con objeto de que en el futuro los motores de búsqueda de Internet no puedan asociarlo al interesado”. En este sentido no podemos obviar que la Agencia Española de Protección de Datos ya condenó a la Agencia Estatal BOE en RESOLUCIÓN Nº.: R/00078/2011 “instando a esta entidad para que adopte las medidas necesarias para evitar la indexación de los datos personales de la reclamante en sus páginas, con objeto de que en el futuro los motores de búsqueda de internet no puedan asociarlas a la reclamante”.
Igualmente en el procedimiento de tutela de derechos TD/266/2007 la Agencia Española de protección de datos manifiesta “… cabe proclamar que ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet. Si requerir el consentimiento individualizado de los ciudadanos para incluir sus datos personales en Internet o exigir mecanismos técnicos que impidieran o filtraran la incorporación inconsentida de datos personales podría suponer una insoportable barrera al libre ejercicio de las libertades de expresión e información a modo de censura previa (lo que resulta constitucionalmente proscrito), no es menos cierto que resulta palmariamente legítimo que el ciudadano que no esté obligado a someterse a la disciplina del ejercicio de las referidas libertades (por no resultar sus datos personales de interés público ni contribuir, en consecuencia, su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático) debe gozar de mecanismos reactivos amparados en Derecho (como el derecho de cancelación de datos de carácter personal) que impidan el mantenimiento secular y universal en la Red de su información de carácter personal”.
Como conclusión podemos decir que como regla general cualquier persona no debe soportar que sus datos personales queden accesibles de por vida en Internet como consecuencia de la inclusión de sus datos en los buscadores de referencia en este medio. Y por tanto debemos a distintas circunstancias:
- La finalidad por la que fueron publicados estos datos. Si ésta fue la de notificación al interesado de un determinado acto administrativo, una vez efectuada ésta, y transcurridos los plazos de ejercicio de los posibles recursos, la finalidad quedaría cumplida, y por tanto no sería necesario el mantenimiento de estos datos para su búsqueda a través de los buscadores.
- La condición de personaje público del titular de los datos, y que el hecho sea noticiable o de relevancia pública. En consecuencia cualquier persona o hecho que no reúna estas características no debería soportar por tiempo indefinido la inclusión de sus datos en Internet. Pero esta conclusión en mi opinión merece una crítica, y es que los hechos resultan noticiables en un determinado momento, dejando de tener este carácter pasado un tiempo. Y en este sentido si transcurrido un tiempo prudencial, la noticia siguiese apareciendo mediante su examen en los buscadores indicados, el afectado debería intentar la retirada de la información de los medios donde aparezca, o como mínimo se debería evitar encontrar los datos concretos a través de estos buscadores.
Consciente del hecho que la información no puede ser retirada de los Boletines Oficiales, la Agencia Española de Protección de datos propone la aplicación de medios técnicos que eviten que los buscadores puedan encontrar estos datos personales. Consistirán en la aplicación de programas norobot.txt. Éstos lo que hacen es dar instrucciones tanto a la página Web donde se encuentre la información, como a los propios buscadores para evitar que la misma pueda ser indexada. En consecuencia la programación de estos códigos debe efectuarla tanto la Web que incluye la información, como los buscadores. Además los buscadores deberían actualizar su caché[1] para que esta información no vuelva aparecer.
Fuente: Diariojuridico
Fecha: 14/11/2011
La industria musical no podrá espiar a los internautas
Promusicae, entidad que engloba a las principales discográficas en España, no podrá usar un programa espíapara grabar las direcciones de los usuarios de redes P2P. La Audiencia Nacional ha sentenciado que esta información es un dato personal a proteger y rechaza que para proteger el derecho a la propiedad intelectual haya que vulnerar el derecho a la privacidad.
La patronal musical había ideado un sistema para reunir las direcciones IP (número que dan las operadoras a cada usuario cuando se conecta a internet) de aquellos internautas que se descargaran archivos musicales desde las redes P2P, como eMule o BitTorrent.Un programa llamado Dtec Net P2P Agent se infiltraba en estas redes y podía registrar quiénes estaban compartiendo archivos de una lista confeccionada por Promusicae. Una vez obtenidas las IP, pretendían presentar demandas contra las operadoras para que los jueces las obligaran a cortar la conexión a los que descargaran de forma masiva.
El texto da prioridad al derecho a la privacidad frente al de propiedad intelectual
Pero, al recopilar esa información, estarían haciendo un tratamiento de datos personales, protegidos por la Ley Orgánica de Protección de Datos (LOPD). En España, es la Agencia Española de Protección de Datos la que supervisa el cumplimiento de esta ley. Por eso, a comienzos de 2009, Promusicae pidió que se le aplicara una excepción a la norma. Esta establece que aquel que quiera hacer un tratamiento de datos personales debe informar previamente a esa persona de que se recaban los datos, de quién es el responsable de esa recogida y para qué los va a utilizar.
"También tendría que pedir el consentimiento de cada usuario P2P, algo inviable, evidentemente", dice el director de la firma ePrivacidad, entidad dedicada a la protección de la privacidad en internet, Samuel Parra. Sólo en determinados supuestos puede soslayarse esta obligación. Las discográficas querían que la AEPD las eximiera de este requisito, pero la agencia falló en su contra el 2 de julio de 2009.
Promusicae presentó entonces un recurso contencioso administrativo ante la Audiencia Nacional buscando la misma dispensa. Sin embargo, el tribunal ha vuelto a decir que no. La sentencia, fallada en septiembre, recuerda que sólo se pueden recopilar datos personales sin conocimiento de los afectados en una serie de supuestos concretos y, "obviamente, ninguna de las circunstancias que prevé el artículo 5.5 de la LOPD concurre en el caso presente...", dice el escrito.
La Audiencia considera las direcciones IP como datos personales
Promusicae lo intentó de varias formas. Negó que las direcciones IP sean un dato personal. Intentó que los jueces aceptaran que había un consentimiento tácito, que consideraran que procedían de fuentes accesibles al público... Ninguno de sus razonamientos ha sido aceptado por la Audiencia Nacional.
Aunque sólo se trata de un número, las operadoras pueden, a partir de él, identificar al titular de la línea telefónica a la que fue asignado. La ley las obliga a conservar esta información para la ulterior investigación de delitos. Pero "sólo pueden revelar esa conexión a los jueces, previa autorización judicial, y sólo para delitos graves", recuerda el abogado especializado en propiedad intelectual, David Maeztu. El plan de Promusicae era presentar demandas civiles contra las operadoras, un procedimiento que, para Maeztu, escapa de la tipificación penal.
Conflicto de derechos
Promusicae pretendía presentar demandas civiles contra las operadoras
Tanto la AEPD como la Audiencia Nacional reiteraron que las direcciones IP son un dato personal, puesto que permiten la identificación y, por tanto, sometido a las mismas garantías que cualquier otro dato personal. Esa era también la opinión de las operadoras personadas también en el caso: Telefónica de España, France Telecom España (Orange) y Cableeuropa (ONO). Sostenían además que, aunque quisieran, no podrían revelar quién está detrás de una dirección IP a Promusicae sin cometer un delito. "No se entiende que hayan intentado esta vía cuando todos están de acuerdo en que las IP son datos personales que hay que proteger", opina Maeztu. "No se quién les habrá dicho que podían tener alguna posibilidad de ganar", añade.
Quizá el golpe más duro a la posición de Promusicae es cuando la Audiencia Nacional sostiene: "La protección de los derechos de propiedad intelectual, que está en la base de lo pretendido por la entidad recurrente, merece todo el respeto de esta Sala, pero no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos".
Como opina Parra al respecto: " Cuando hay dos derechos en juego, hay que ponderar. Uno debe prevalecer y, aquí, tanto la AEPD como la Audiencia Nacional han considerado que prima el derecho a la protección de datos y el acceso a internet sobre el de propiedad intelectual".
Para Antonio Guisasola, la decisión judicial es "desproporcionada"
Para Antonio Guisasola, presidente de Promusicae, la noticia no es buena. "Es una decisión desfavorable y creemos que desproporcionada y por eso ya se ha recurrido", dice. "Lo que la sentencia dice es que, debiendo protegerse la propiedad intelectual, esto no puede ir en demérito de la protección de datos. Pero esa decisión lo que hace en la práctica es primar la protección de unos supuestos datos de carácter personal frente a la protección de quienes ven sus derechos de propiedad expoliados por aquellos que la AEPD prefiere que sigan siendo anónimos para que su actividad ilegal quede impune", añade. En su opinión, las direcciones IP no son datos personales: "Una dirección IP, normalmente dinámica, sin otro vinculo de ningún tipo, es evidente que no sirve para identificar a nadie por sí misma, y eso lo olvida el tribunal".
Segundo revés
Este revés es el segundo que recibe la posición de Promusicae. En 2005, intentó que Telefónica le revelara la identidad de algunos usuarios de redes P2P ante el juzgado. El caso, que acabó en el Tribunal de Justicia de la Unión Europea, se resolvió en 2008, negando aquella instancia la obligación de los operadores de identificar quién está detrás de una IP. Pero también dijo, como recuerda Guisasola, que tiene que haber un equilibrio entre la protección de la privacidad y de la propiedad intelectual frente a quienes la vulneran. "La interpretación de la AEPD, que ahora confirma el tribunal, desde luego supone romper completamente este equilibrio", afirma.
Se cierra así la opción de ir contra los que descargan material de la red
Cerrada la opción de ir tanto directamente como indirectamente contra los que descargan material sujetos a derechos de autor, Guisasola no se rinde. "A lo que no podemos renunciar es a que en internet se respeten las mismas leyes que en el mundo físico, y coger un contenido protegido y ponerlo a disposición de miles de usuarios a través de una red de P2P es ilegal en España y en toda la UE", defiende.
Tampoco confía del todo en la llamada ley Sinde. Todo indica que no llegará en esta legislatura. Además, las páginas de enlaces que serán objeto de la norma contienen fundamentalmente películas y series. La música, el negociado de Guisasola, está más en las redes P2P y "la ley olvida una parte muy importante del problema, como es la piratería a través de estas redes. Las soluciones parciales sólo pueden aspirar a resolver parcialmente los problemas, cosa que, en el mejor de los casos, es lo que pasará con esta ley", mantiene.
Fuente: Publico
Fecha: 28/10/2011
La patronal musical había ideado un sistema para reunir las direcciones IP (número que dan las operadoras a cada usuario cuando se conecta a internet) de aquellos internautas que se descargaran archivos musicales desde las redes P2P, como eMule o BitTorrent.Un programa llamado Dtec Net P2P Agent se infiltraba en estas redes y podía registrar quiénes estaban compartiendo archivos de una lista confeccionada por Promusicae. Una vez obtenidas las IP, pretendían presentar demandas contra las operadoras para que los jueces las obligaran a cortar la conexión a los que descargaran de forma masiva.
El texto da prioridad al derecho a la privacidad frente al de propiedad intelectual
Pero, al recopilar esa información, estarían haciendo un tratamiento de datos personales, protegidos por la Ley Orgánica de Protección de Datos (LOPD). En España, es la Agencia Española de Protección de Datos la que supervisa el cumplimiento de esta ley. Por eso, a comienzos de 2009, Promusicae pidió que se le aplicara una excepción a la norma. Esta establece que aquel que quiera hacer un tratamiento de datos personales debe informar previamente a esa persona de que se recaban los datos, de quién es el responsable de esa recogida y para qué los va a utilizar.
"También tendría que pedir el consentimiento de cada usuario P2P, algo inviable, evidentemente", dice el director de la firma ePrivacidad, entidad dedicada a la protección de la privacidad en internet, Samuel Parra. Sólo en determinados supuestos puede soslayarse esta obligación. Las discográficas querían que la AEPD las eximiera de este requisito, pero la agencia falló en su contra el 2 de julio de 2009.
Promusicae presentó entonces un recurso contencioso administrativo ante la Audiencia Nacional buscando la misma dispensa. Sin embargo, el tribunal ha vuelto a decir que no. La sentencia, fallada en septiembre, recuerda que sólo se pueden recopilar datos personales sin conocimiento de los afectados en una serie de supuestos concretos y, "obviamente, ninguna de las circunstancias que prevé el artículo 5.5 de la LOPD concurre en el caso presente...", dice el escrito.
La Audiencia considera las direcciones IP como datos personales
Promusicae lo intentó de varias formas. Negó que las direcciones IP sean un dato personal. Intentó que los jueces aceptaran que había un consentimiento tácito, que consideraran que procedían de fuentes accesibles al público... Ninguno de sus razonamientos ha sido aceptado por la Audiencia Nacional.
Aunque sólo se trata de un número, las operadoras pueden, a partir de él, identificar al titular de la línea telefónica a la que fue asignado. La ley las obliga a conservar esta información para la ulterior investigación de delitos. Pero "sólo pueden revelar esa conexión a los jueces, previa autorización judicial, y sólo para delitos graves", recuerda el abogado especializado en propiedad intelectual, David Maeztu. El plan de Promusicae era presentar demandas civiles contra las operadoras, un procedimiento que, para Maeztu, escapa de la tipificación penal.
Conflicto de derechos
Promusicae pretendía presentar demandas civiles contra las operadoras
Tanto la AEPD como la Audiencia Nacional reiteraron que las direcciones IP son un dato personal, puesto que permiten la identificación y, por tanto, sometido a las mismas garantías que cualquier otro dato personal. Esa era también la opinión de las operadoras personadas también en el caso: Telefónica de España, France Telecom España (Orange) y Cableeuropa (ONO). Sostenían además que, aunque quisieran, no podrían revelar quién está detrás de una dirección IP a Promusicae sin cometer un delito. "No se entiende que hayan intentado esta vía cuando todos están de acuerdo en que las IP son datos personales que hay que proteger", opina Maeztu. "No se quién les habrá dicho que podían tener alguna posibilidad de ganar", añade.
Quizá el golpe más duro a la posición de Promusicae es cuando la Audiencia Nacional sostiene: "La protección de los derechos de propiedad intelectual, que está en la base de lo pretendido por la entidad recurrente, merece todo el respeto de esta Sala, pero no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos".
Como opina Parra al respecto: " Cuando hay dos derechos en juego, hay que ponderar. Uno debe prevalecer y, aquí, tanto la AEPD como la Audiencia Nacional han considerado que prima el derecho a la protección de datos y el acceso a internet sobre el de propiedad intelectual".
Para Antonio Guisasola, la decisión judicial es "desproporcionada"
Para Antonio Guisasola, presidente de Promusicae, la noticia no es buena. "Es una decisión desfavorable y creemos que desproporcionada y por eso ya se ha recurrido", dice. "Lo que la sentencia dice es que, debiendo protegerse la propiedad intelectual, esto no puede ir en demérito de la protección de datos. Pero esa decisión lo que hace en la práctica es primar la protección de unos supuestos datos de carácter personal frente a la protección de quienes ven sus derechos de propiedad expoliados por aquellos que la AEPD prefiere que sigan siendo anónimos para que su actividad ilegal quede impune", añade. En su opinión, las direcciones IP no son datos personales: "Una dirección IP, normalmente dinámica, sin otro vinculo de ningún tipo, es evidente que no sirve para identificar a nadie por sí misma, y eso lo olvida el tribunal".
Segundo revés
Este revés es el segundo que recibe la posición de Promusicae. En 2005, intentó que Telefónica le revelara la identidad de algunos usuarios de redes P2P ante el juzgado. El caso, que acabó en el Tribunal de Justicia de la Unión Europea, se resolvió en 2008, negando aquella instancia la obligación de los operadores de identificar quién está detrás de una IP. Pero también dijo, como recuerda Guisasola, que tiene que haber un equilibrio entre la protección de la privacidad y de la propiedad intelectual frente a quienes la vulneran. "La interpretación de la AEPD, que ahora confirma el tribunal, desde luego supone romper completamente este equilibrio", afirma.
Se cierra así la opción de ir contra los que descargan material de la red
Cerrada la opción de ir tanto directamente como indirectamente contra los que descargan material sujetos a derechos de autor, Guisasola no se rinde. "A lo que no podemos renunciar es a que en internet se respeten las mismas leyes que en el mundo físico, y coger un contenido protegido y ponerlo a disposición de miles de usuarios a través de una red de P2P es ilegal en España y en toda la UE", defiende.
Tampoco confía del todo en la llamada ley Sinde. Todo indica que no llegará en esta legislatura. Además, las páginas de enlaces que serán objeto de la norma contienen fundamentalmente películas y series. La música, el negociado de Guisasola, está más en las redes P2P y "la ley olvida una parte muy importante del problema, como es la piratería a través de estas redes. Las soluciones parciales sólo pueden aspirar a resolver parcialmente los problemas, cosa que, en el mejor de los casos, es lo que pasará con esta ley", mantiene.
Fuente: Publico
Fecha: 28/10/2011
Promusicae no podrá recopilar las IPs de los internautas, fin de los espías P2P
Los productores de música de España (Promusicae) acaban de recibir un duro varapalo en su cruzada frente a los usuarios P2P. El recurso fue interpuesto en la Audiencia Nacional y en él pedía permiso para recopilar las IPs de los usuarios que utilizaban redes P2P para solicitar su desconexión de Internet debido a la piratería.
Según parece, pretendían utilizar una exención contemplada en el artículo 5.5 de la LOPD, que permite manipular datos personales. Sin embargo, el recurso presentado en la Audiencia Nacional deja claro cómo funcionaría ese sistema:
Utilizando un determinado programa informático detectará las infracciones la ley de propiedad intelectual que se cometan por la redes P2P y podrá recopilar las direcciones IP de los usuarios que compartan un considerable numero de fonogramas y vídeos y que, una vez obtenida dicha recopilación, se procederá a ejercer las acciones civiles y penales correspondientes contra quienes prestan á los usuarios infractores los servicios de los que se sirven para intercambiar ilícitamente los archivos fonográficos ó de vídeo correspondientes.
Es decir, PRODUCTORES DE MÚSICA DE ESPAÑA (PROMUSICAE) pretende que se le suspenda el servicio de Internet a aquellos usuarios de la red P2P que infringen masivamente los derechos de la propiedad intelectual.”
La Audiencia Nacional ha rechazado (PDF) la petición recordando que los derechos de protección intelectual no están por encima de los derechos de los usuarios a proteger sus datos personales.
La protección de los derechos de propiedad intelectual, que está en la base de lo pretendido por la entidad recurrente, merece todo el respeto de esta Sala pero no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos.”
Fuente: Muycomputer
Fecha: 27/10/2011
Según parece, pretendían utilizar una exención contemplada en el artículo 5.5 de la LOPD, que permite manipular datos personales. Sin embargo, el recurso presentado en la Audiencia Nacional deja claro cómo funcionaría ese sistema:
Utilizando un determinado programa informático detectará las infracciones la ley de propiedad intelectual que se cometan por la redes P2P y podrá recopilar las direcciones IP de los usuarios que compartan un considerable numero de fonogramas y vídeos y que, una vez obtenida dicha recopilación, se procederá a ejercer las acciones civiles y penales correspondientes contra quienes prestan á los usuarios infractores los servicios de los que se sirven para intercambiar ilícitamente los archivos fonográficos ó de vídeo correspondientes.
Es decir, PRODUCTORES DE MÚSICA DE ESPAÑA (PROMUSICAE) pretende que se le suspenda el servicio de Internet a aquellos usuarios de la red P2P que infringen masivamente los derechos de la propiedad intelectual.”
La Audiencia Nacional ha rechazado (PDF) la petición recordando que los derechos de protección intelectual no están por encima de los derechos de los usuarios a proteger sus datos personales.
La protección de los derechos de propiedad intelectual, que está en la base de lo pretendido por la entidad recurrente, merece todo el respeto de esta Sala pero no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos.”
Fuente: Muycomputer
Fecha: 27/10/2011
Expediente al Ayuntamiento por el envío erróneo de un email
La Agencia Española de Protección de Datos (APED) ha iniciado un expediente sancionador contra el Ayuntamiento de Sevilla por una posible vulneración de la Ley Oficial de Protección de Datos (LOPD). El proceso sancionador iniciado por este organismo se origina por el envío, el 5 de noviembre de 2010, de un email a todos los usuarios de la Oficina de la Bicicleta.
“Por error”, según explicó la propia oficina minutos después en otro correo electrónico a los más de 500 destinatarios, el primer envío se realizó sin poner las direcciones en CCO (Con copia oculta), por lo que las direcciones se hicieron visibles por todos los usuarios. A pesar de que la propia Oficina advirtió en su segundo correo de que no se podía utilizar las direcciones y pedía la eliminación de los datos mostrados, algunos de los usuarios denuncian haber comenzado a recibir, después del “error”, publicidad de empresas relacionadas con la bicicleta.
Este envío supondría una vulneración del artículo 10 de la LOPD, en el que se indica que el responsable del fichero, en este caso la Gerencia de Urbanismo, está obligado al secreto del fichero de datos.
Fuente: Andaluciainformacion
Fecha: 26/10/2011
“Por error”, según explicó la propia oficina minutos después en otro correo electrónico a los más de 500 destinatarios, el primer envío se realizó sin poner las direcciones en CCO (Con copia oculta), por lo que las direcciones se hicieron visibles por todos los usuarios. A pesar de que la propia Oficina advirtió en su segundo correo de que no se podía utilizar las direcciones y pedía la eliminación de los datos mostrados, algunos de los usuarios denuncian haber comenzado a recibir, después del “error”, publicidad de empresas relacionadas con la bicicleta.
Este envío supondría una vulneración del artículo 10 de la LOPD, en el que se indica que el responsable del fichero, en este caso la Gerencia de Urbanismo, está obligado al secreto del fichero de datos.
Fuente: Andaluciainformacion
Fecha: 26/10/2011
Se supera la cifra de 2,5 millones de bases de datos inscritas en la AEPD por parte de empresas y organismos públicos
La Agencia Española de Protección de Datos (AEPD) ha alcanzado la cifra de 2.504.844 ficheros con datos de carácter personal inscritos en el Registro General de Protección de Datos (RGPD)-según refleja la Estadística mensual de la actividad del Registro correspondiente al mes de septiembre-, lo que representa un incremento de un 22,7 por ciento respecto al mismo mes del año anterior.
Entre los sectores o ámbitos de actividad con mayor inscripción de ficheros en la AEPD destaca en primer lugar el sector de las comunidades de propietarios, que cuenta con más de 311.000 ficheros notificados, y que ha registrado un incremento respecto al año anterior en la inscripción del 25,2%. Asimismo, es destacable el progresivo incremento en la inscripción por parte de las pequeñas y medianas empresas (Pymes) en el sector del comercio que registra un total de 271.747 ficheros inscritos, y que ha experimentado un incremento de un 25%. En tercer lugar se sitúa el sector sanitario con 181.661 ficheros inscritos, seguido de las actividades de contabilidad, auditoria y asesoría fiscal, con 122.943 ficheros, y turismo y hostelería, que con 101.983 ficheros inscritos pasa a ocupar el quinto lugar.
Con respecto a la finalidad de los ficheros o bases de datos inscritas, es destacable el aumento que sigue experimentando en los últimos años la notificación de los ficheros de videovigilancia- (ficheros generados por la grabación de imágenes de los dispositivos de videovigilancia)-. Actualmente, la cifra total de ficheros inscritos que declaran esta finalidad es de 97. 328 ficheros, de los cuales 27.967 han sido inscritos en los nueve primeros meses de 2011.
Titularidad de los ficheros
En cuanto a la distribución de los ficheros según la titularidad de los mismos se desprende que de los más de dos millones y medio de ficheros inscritos en el registro, 115.392 de ellos son de titularidad pública y 2.389.452 son de titularidad privada habiendo sido inscritos por más de 900.000 entidades hasta la fecha, cumpliendo así con una de las obligaciones legales que se prevén en la Ley Orgánica de Protección de Datos (LOPD).
Por comunidades autónomas, las entidades de Cataluña (451.924), Andalucía (352.142) y Madrid (346.900) son las que acumulan un mayor número de ficheros inscritos en el RGPD, seguidas a continuación por la Comunidad Valenciana y Galicia (con 265.713 y 182.225, respectivamente).
Cumplimiento de la obligación de notificación
La LOPD estabece la obligación para todos los organismos y entidades públicas y privadas a dar de alta sus ficheros que contengan datos de carácter personal (por ejemplo: ficheros pacientes, asociados, fichero nóminas, fichero clientes, etc.) en el Registro General de Protección de Datos, con el objetivo de que los ciudadanos puedan conocer quién trata sus datos y poder así ejercer los derechos acceso, rectificación, oposición y cancelación de sus datos personales recogidos en ficheros. La AEPD cuenta para tal fin con un catálogo de ficheros de titularidad pública y privada, inscritos en el RGPD, que se actualiza diariamente y cuya consulta esta disponible en la página Web de la Agencia.
El trámite de inscripción de los ficheros en el Registro General de Protección de Datos es totalmente gratuito, y para ello la AEPD tiene a disposición de todos aquellas entidades obligadas el formulario electrónico NOTA (titularidad pública y titularidad privada), a través del que deberán efectuarse las solicitudes de inscripción de ficheros. Este formulario permite la presentación de notificaciones a través de Internet, con y sin certificado de firma electrónica, y presentación en soporte papel. Asimismo, permite notificar de forma simplificada y precumplimentada los ficheros de titularidad privada de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestión escolar, nóminas, recursos humanos y videovigilancia, y los de titularidad pública de recursos humanos, gestión del padrón, gestión económica o control de acceso.
Asimismo al objeto de facilitar el cumplimiento de la normativa de protección de datos la AEPD cuenta con el programa EVALÚA, un programa de sencilla utilización, anónimo y gratuito, que permite a empresas y administraciones autoevaluar su grado de cumplimiento de la Ley Orgánica de Protección de Datos. Esta herramienta ofrece respuestas a las dudas a las que se habitualmente se enfrentan quienes manejan datos personales, mediante un autotest online, que una vez finalizado, genera un informe con indicaciones y recursos que orientan, en su caso, para cumplir con lo dispuesto en la LOPD.
Fuente: Diario Juridico
Fecha: 18/10/2011
Entre los sectores o ámbitos de actividad con mayor inscripción de ficheros en la AEPD destaca en primer lugar el sector de las comunidades de propietarios, que cuenta con más de 311.000 ficheros notificados, y que ha registrado un incremento respecto al año anterior en la inscripción del 25,2%. Asimismo, es destacable el progresivo incremento en la inscripción por parte de las pequeñas y medianas empresas (Pymes) en el sector del comercio que registra un total de 271.747 ficheros inscritos, y que ha experimentado un incremento de un 25%. En tercer lugar se sitúa el sector sanitario con 181.661 ficheros inscritos, seguido de las actividades de contabilidad, auditoria y asesoría fiscal, con 122.943 ficheros, y turismo y hostelería, que con 101.983 ficheros inscritos pasa a ocupar el quinto lugar.
Con respecto a la finalidad de los ficheros o bases de datos inscritas, es destacable el aumento que sigue experimentando en los últimos años la notificación de los ficheros de videovigilancia- (ficheros generados por la grabación de imágenes de los dispositivos de videovigilancia)-. Actualmente, la cifra total de ficheros inscritos que declaran esta finalidad es de 97. 328 ficheros, de los cuales 27.967 han sido inscritos en los nueve primeros meses de 2011.
Titularidad de los ficheros
En cuanto a la distribución de los ficheros según la titularidad de los mismos se desprende que de los más de dos millones y medio de ficheros inscritos en el registro, 115.392 de ellos son de titularidad pública y 2.389.452 son de titularidad privada habiendo sido inscritos por más de 900.000 entidades hasta la fecha, cumpliendo así con una de las obligaciones legales que se prevén en la Ley Orgánica de Protección de Datos (LOPD).
Por comunidades autónomas, las entidades de Cataluña (451.924), Andalucía (352.142) y Madrid (346.900) son las que acumulan un mayor número de ficheros inscritos en el RGPD, seguidas a continuación por la Comunidad Valenciana y Galicia (con 265.713 y 182.225, respectivamente).
Cumplimiento de la obligación de notificación
La LOPD estabece la obligación para todos los organismos y entidades públicas y privadas a dar de alta sus ficheros que contengan datos de carácter personal (por ejemplo: ficheros pacientes, asociados, fichero nóminas, fichero clientes, etc.) en el Registro General de Protección de Datos, con el objetivo de que los ciudadanos puedan conocer quién trata sus datos y poder así ejercer los derechos acceso, rectificación, oposición y cancelación de sus datos personales recogidos en ficheros. La AEPD cuenta para tal fin con un catálogo de ficheros de titularidad pública y privada, inscritos en el RGPD, que se actualiza diariamente y cuya consulta esta disponible en la página Web de la Agencia.
El trámite de inscripción de los ficheros en el Registro General de Protección de Datos es totalmente gratuito, y para ello la AEPD tiene a disposición de todos aquellas entidades obligadas el formulario electrónico NOTA (titularidad pública y titularidad privada), a través del que deberán efectuarse las solicitudes de inscripción de ficheros. Este formulario permite la presentación de notificaciones a través de Internet, con y sin certificado de firma electrónica, y presentación en soporte papel. Asimismo, permite notificar de forma simplificada y precumplimentada los ficheros de titularidad privada de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestión escolar, nóminas, recursos humanos y videovigilancia, y los de titularidad pública de recursos humanos, gestión del padrón, gestión económica o control de acceso.
Asimismo al objeto de facilitar el cumplimiento de la normativa de protección de datos la AEPD cuenta con el programa EVALÚA, un programa de sencilla utilización, anónimo y gratuito, que permite a empresas y administraciones autoevaluar su grado de cumplimiento de la Ley Orgánica de Protección de Datos. Esta herramienta ofrece respuestas a las dudas a las que se habitualmente se enfrentan quienes manejan datos personales, mediante un autotest online, que una vez finalizado, genera un informe con indicaciones y recursos que orientan, en su caso, para cumplir con lo dispuesto en la LOPD.
Fuente: Diario Juridico
Fecha: 18/10/2011
La Facultad de Bellas Artes atenta contra la Ley de Protección de Datos
sevilla- «¡Pero si estos son los trabajos de nuestros amigos!», decía un grupo de jóvenes mientras un vagabundo rebuscaba entre la basura en medio de la calle. Esta semana los estudiantes de Bellas Artes han descubierto la ilegal forma de hacer limpieza de varios departamentos de la Facultad en la que se hallan matriculados. En el interior de una cuba, junto a la puerta trasera del edificio y en medio de la calle Gonzalo Bilbao, aparecieron trabajos de modelado, memorias, fotografías, DVD’s, CD’s, diapositivas, ficheros completos con los datos de los alumnos e incluso listados de notas de cursos de, al menos, 2004 a 2009 como mínimo. Alguien en la Universidad decidió que ya era hora de hacer un hueco entre tanta documentación «inservible» y actuó sin tener en cuenta la Ley de Protección de Datos, que ahora supone una amenaza a la Universidad de Sevilla con la apertura de un expediente.
Esta Ley Orgánica de Protección de Datos (LOPD) impone a las empresas, entidades y administraciones la obligación de adoptar medidas que garanticen la seguridad de los datos personales, eviten su alteración, perdida o accesos no autorizados, así como la obligación de guardar secreto respecto a los mismos. Entre la documentación que Bellas Artes no cuidó se encontraban nombres, direcciones, correos electrónicos, teléfonos de contacto e información personal de los alumnos, registrada en impresos de la Universidad.
Desde la Agencia Española de Protección de Datos mantienen que no pueden «prejuzgar ni valorar por el momento la situación concreta ni la conducta» de la Facultad de Bellas Artes, pero entienden que en el caso de confirmar estas pruebas habría motivos para actuar de oficio.
El artículo 9 de la ley especifica que «el responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado». Además, el artículo 10 hace mención al secreto profesional: «El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional de los mismos y al deber de guardarlos».
Las vulneraciones de estos dos artículos pueden ser constitutivas de infracciones graves, tal y como establece el artículo 44 de la LOPD. Así , «mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen» son consideradas infracciones graves.
La ley no prevé sanciones económicas en caso de las infracciones cometidas por las administraciones públicas, sino la declaración a la entidad u organismo responsable para que cesen o se corrijan los efectos de la infracción. Si una negligencia «grave» como la mencionada la comete una entidad privada, la cuantía de la multa se cifraría entre 40.000 y 300.000, según la legislación.
Las resoluciones llegan al Defensor del Pueblo
Aunque la sanción a la que se expone la Universidad de Sevilla no sea económica por tratarse de un organismo público y no privado, la resolución correspondiente se notificaría al responsable del fichero, al órgano del que dependan y a los afectados si los hubiera, en este caso todos los alumnos implicados. Además, en la misma se podría proponer la iniciación de «actuaciones disciplinarias», utilizando el régimen vigente de las Administraciones Públicas, y el director de la Agencia de Protección de Datos comunicará al Defensor del Pueblo, José Chamizo, sus actuaciones y las resoluciones adoptadas.
Fuente: La Razón
Fecha: 08/10/2011
Esta Ley Orgánica de Protección de Datos (LOPD) impone a las empresas, entidades y administraciones la obligación de adoptar medidas que garanticen la seguridad de los datos personales, eviten su alteración, perdida o accesos no autorizados, así como la obligación de guardar secreto respecto a los mismos. Entre la documentación que Bellas Artes no cuidó se encontraban nombres, direcciones, correos electrónicos, teléfonos de contacto e información personal de los alumnos, registrada en impresos de la Universidad.
Desde la Agencia Española de Protección de Datos mantienen que no pueden «prejuzgar ni valorar por el momento la situación concreta ni la conducta» de la Facultad de Bellas Artes, pero entienden que en el caso de confirmar estas pruebas habría motivos para actuar de oficio.
El artículo 9 de la ley especifica que «el responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado». Además, el artículo 10 hace mención al secreto profesional: «El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional de los mismos y al deber de guardarlos».
Las vulneraciones de estos dos artículos pueden ser constitutivas de infracciones graves, tal y como establece el artículo 44 de la LOPD. Así , «mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen» son consideradas infracciones graves.
La ley no prevé sanciones económicas en caso de las infracciones cometidas por las administraciones públicas, sino la declaración a la entidad u organismo responsable para que cesen o se corrijan los efectos de la infracción. Si una negligencia «grave» como la mencionada la comete una entidad privada, la cuantía de la multa se cifraría entre 40.000 y 300.000, según la legislación.
Las resoluciones llegan al Defensor del Pueblo
Aunque la sanción a la que se expone la Universidad de Sevilla no sea económica por tratarse de un organismo público y no privado, la resolución correspondiente se notificaría al responsable del fichero, al órgano del que dependan y a los afectados si los hubiera, en este caso todos los alumnos implicados. Además, en la misma se podría proponer la iniciación de «actuaciones disciplinarias», utilizando el régimen vigente de las Administraciones Públicas, y el director de la Agencia de Protección de Datos comunicará al Defensor del Pueblo, José Chamizo, sus actuaciones y las resoluciones adoptadas.
Fuente: La Razón
Fecha: 08/10/2011
Mucho cuidado con el cloud, sobre todo en aspectos legales, seguridad e integración de servicios
Antes de abordar un proyecto cloud hay que contar con un integrador especializado que ayude a conocer cuáles son las áreas críticas a tener en cuenta, entre las que están las de seguridad y legales, recomienta la firma Ozona Consulting, especialista en virtualización y proyectos de consultoría de procesos ITIL e ISO 20000.
A pesar de que el cloud cuenta con ventajas de flexibilidad económica, inmediatez y escalabilidad, han de considerarse con más atención los aspectos relacionados con la seguridad, la integridad de la información, la legalidad y la gestión del cambio que hay que abordar para la adopción de este paradigma.Y hay que añadir, al control habitual de TI, la gestión de los proveedores específicos de las soluciones en cloud.
Tal y como señala Ramón Ares, director general de Ozona Consulting “la LOPD o las normas de información del Banco de España marcan fronteras que afectan al uso de cloud computing. Esto supone que sean unos reglamentos muy ajustados para determinados sectores y algo más livianos a nivel general. La inversión realizada puede suponer que cualquier análisis que no aporte beneficios económicos no conseguirá poner en marcha las iniciativas, por muy útiles y funcionales que éstas sean”.
Para Ozona, un elemento a tener en cuenta de manera singular se refiere al análisis de retorno. Cuando un servicio cloud va a sustituir o va a complementarse con un servicio provisto de manera tradicional, es importante tener en cuenta que las infraestructuras que soportan estos servicios han de ser amortizadas.
Asimismo, a la hora de elegir un proveedor, es necesario conocer cuáles son los sistemas de seguridad que ofrece con respecto a los datos de la compañía. Por ello, desde la firma defienden la necesidad de disponer de un intermediario que proporcione un análisis previo del impacto del nuevo modelo en las áreas críticas es básico para ofrecer la seguridad adecuada a las aplicaciones.
El cambio de los aspectos culturales y el nuevo papel del usuario y los servicios, es otra de las barreras a tener en cuenta por las empresas. “Ahora el rey es el servicio y el usuario ha pasado a ser una pieza más del engranaje. Ya no hay objeciones funcionales, porque el usuario no podrá exigir dispositivos o ubicación de la información; sencillamente tendrá lo que necesite donde y cuando quiera, con similares niveles de calidad”, explica Ares.
En todos los casos, para que la adopción a la tendencia del cloud computing sea lo más eficiente posible, desde Ozona apuestan por contar con integradores que analicen qué servicios pueden ser llevados a un modo cloud computing para que la organización conozca cuáles son los beneficios y los principales inconvenientes de la puesta en marcha de un proyecto de computación en la nube.
Fuente: Techweek
Fecha: 17/10/2011
A pesar de que el cloud cuenta con ventajas de flexibilidad económica, inmediatez y escalabilidad, han de considerarse con más atención los aspectos relacionados con la seguridad, la integridad de la información, la legalidad y la gestión del cambio que hay que abordar para la adopción de este paradigma.Y hay que añadir, al control habitual de TI, la gestión de los proveedores específicos de las soluciones en cloud.
Tal y como señala Ramón Ares, director general de Ozona Consulting “la LOPD o las normas de información del Banco de España marcan fronteras que afectan al uso de cloud computing. Esto supone que sean unos reglamentos muy ajustados para determinados sectores y algo más livianos a nivel general. La inversión realizada puede suponer que cualquier análisis que no aporte beneficios económicos no conseguirá poner en marcha las iniciativas, por muy útiles y funcionales que éstas sean”.
Para Ozona, un elemento a tener en cuenta de manera singular se refiere al análisis de retorno. Cuando un servicio cloud va a sustituir o va a complementarse con un servicio provisto de manera tradicional, es importante tener en cuenta que las infraestructuras que soportan estos servicios han de ser amortizadas.
Asimismo, a la hora de elegir un proveedor, es necesario conocer cuáles son los sistemas de seguridad que ofrece con respecto a los datos de la compañía. Por ello, desde la firma defienden la necesidad de disponer de un intermediario que proporcione un análisis previo del impacto del nuevo modelo en las áreas críticas es básico para ofrecer la seguridad adecuada a las aplicaciones.
El cambio de los aspectos culturales y el nuevo papel del usuario y los servicios, es otra de las barreras a tener en cuenta por las empresas. “Ahora el rey es el servicio y el usuario ha pasado a ser una pieza más del engranaje. Ya no hay objeciones funcionales, porque el usuario no podrá exigir dispositivos o ubicación de la información; sencillamente tendrá lo que necesite donde y cuando quiera, con similares niveles de calidad”, explica Ares.
En todos los casos, para que la adopción a la tendencia del cloud computing sea lo más eficiente posible, desde Ozona apuestan por contar con integradores que analicen qué servicios pueden ser llevados a un modo cloud computing para que la organización conozca cuáles son los beneficios y los principales inconvenientes de la puesta en marcha de un proyecto de computación en la nube.
Fuente: Techweek
Fecha: 17/10/2011
El 95% de las pymes incumplen la Ley de Protección de Datos
Desconocida para muchos pero obligatoria para todas las empresas y autónomos, la Ley Orgánica de Protección de Datos de Carácter Personal –ya conocida con las siglas LOPD– establece una serie de exigencias a aquellas empresas, profesionales y administraciones públicas que sean titulares de datos de carácter personal. Si bien en los últimos tiempos está citándose mucho en medios de comunicación y entornos laborales y empresariales, su operativa sigue siendo una incógnita para una gran mayoría.
Una clara muestra de ello es el dato facilitado por la Asociación Profesional de la Privacidad de Castilla La Mancha, que confirma como el 95% de las pymes incumplen esta Ley y con faltas catalogadas como graves o muy graves según el baremo que establece la LOPD.Concretamente, el 70% de las infracciones cometidas están consideradas graves o muy graves, con sanciones que oscilan entre los 40.001 y los 300.000 euros y los 300.001 y los 600.000 euros respectivamente.
Estas cifras provienen de un estudio llevado a cabo por la citada asociación, para el cual se ha contado con la participación de 200 empresas ubicadas en Albacete. Las incidencias detectadas en la aplicación relativa a protección de datos de estas compañías podrian haber significado hasta seis millones de euros en multas, una cifra nada desdeñable, más cuando estamos en plena crisis.
Estos datos son extrapolables al conjunto del tejido empresarial español, según explica Paola Redecilla, experta en Derecho de Protección de datos de IMAdvisory: “Desgraciadamente no existe cultura de protección de datos y las empresas asumen unas contingencias muy elevadas que pueden llevarlas incluso a la quiebra”.
IMAdvisory es una de las muchas empresas que prestan servicio de auditoría a empresas en estas lides, consultoras que facilitan la tarea de adecuación de la LODP en todo tipo de actividades y sectores. La función que desarrollan es muy importante, puesto que el incumplimiento de esta ley conlleva importantes sanciones económicas. En la mayoría de las ocasiones, esas infracciones se producen como consecuencia de actuaciones negligentes ocasionadas por la falta de conocimiento de la normativa o por no haber adoptado las medidas impuestas por la misma. Y es que nunca se debe olvidar que el desconocimiento de una ley no exime de su cumplimiento.
Fuente: Muypymes
Fecha: 27/09/2011
Una clara muestra de ello es el dato facilitado por la Asociación Profesional de la Privacidad de Castilla La Mancha, que confirma como el 95% de las pymes incumplen esta Ley y con faltas catalogadas como graves o muy graves según el baremo que establece la LOPD.Concretamente, el 70% de las infracciones cometidas están consideradas graves o muy graves, con sanciones que oscilan entre los 40.001 y los 300.000 euros y los 300.001 y los 600.000 euros respectivamente.
Estas cifras provienen de un estudio llevado a cabo por la citada asociación, para el cual se ha contado con la participación de 200 empresas ubicadas en Albacete. Las incidencias detectadas en la aplicación relativa a protección de datos de estas compañías podrian haber significado hasta seis millones de euros en multas, una cifra nada desdeñable, más cuando estamos en plena crisis.
Estos datos son extrapolables al conjunto del tejido empresarial español, según explica Paola Redecilla, experta en Derecho de Protección de datos de IMAdvisory: “Desgraciadamente no existe cultura de protección de datos y las empresas asumen unas contingencias muy elevadas que pueden llevarlas incluso a la quiebra”.
IMAdvisory es una de las muchas empresas que prestan servicio de auditoría a empresas en estas lides, consultoras que facilitan la tarea de adecuación de la LODP en todo tipo de actividades y sectores. La función que desarrollan es muy importante, puesto que el incumplimiento de esta ley conlleva importantes sanciones económicas. En la mayoría de las ocasiones, esas infracciones se producen como consecuencia de actuaciones negligentes ocasionadas por la falta de conocimiento de la normativa o por no haber adoptado las medidas impuestas por la misma. Y es que nunca se debe olvidar que el desconocimiento de una ley no exime de su cumplimiento.
Fuente: Muypymes
Fecha: 27/09/2011
Los datos confidenciales no pueden acabar en la basura
Un estudio llevado a cabo por la organización sin ánimo de lucro NAID (National Association for Information Destruction) ha desvelado como el 72% de la información confidencial que manejan empresas y profesionales acaba en la basura. La investigación se ha llevado a cabo durante los meses de Junio y Julio para comprobar el grado de cumplimiento de la LOPD en empresas de distintos sectores.
Basta con buscar en la basura próxima a empresas para encontrar historiales clínicos, listados de morosos, números de cuenta corriente, o currículum vitae de candidatos sin el menor problema. Y esto en formato papel, porque también han encontrado discos duros de equipos completos de los que se puede recuperar todo tipo de información.
De los centros investigados el 75 por ciento de los bancos, el 50 por ciento de los centros médicos y el 100 por cien de los edificios y oficinas gubernamentales investigadas tira documentación personal y confidencial sin destruir o tratar. El 78 por ciento de los trabajadores con acceso a esta documentación son conscientes de que se trata de información sensible ya que la rompen manualmente, lo que no impide que se pueda acceder en muchas ocasiones a los datos.
Lo cierto es que parece que se tiene bastante claro que tipo de datos deben ser destruidos pero falta el paso siguiente a la simple destrucción manual, que implica articular un sistema para recoger toda la documentación confidencial y sensible de la empresas en papel y destruirla en el típico destructor de papel.
Mención aparte es la información digital a la hora de ser destruida. No basta con formatear el disco duro, sino que debemos sobreescribirlo X veces para asegurarnos de que la información se ha borrado, o destruirlo físicamente para asegurarnos de que no se puede recuperar la información.
Fuente: PYSNNOTICIAS
Fecha: 14/09/2011
Basta con buscar en la basura próxima a empresas para encontrar historiales clínicos, listados de morosos, números de cuenta corriente, o currículum vitae de candidatos sin el menor problema. Y esto en formato papel, porque también han encontrado discos duros de equipos completos de los que se puede recuperar todo tipo de información.
De los centros investigados el 75 por ciento de los bancos, el 50 por ciento de los centros médicos y el 100 por cien de los edificios y oficinas gubernamentales investigadas tira documentación personal y confidencial sin destruir o tratar. El 78 por ciento de los trabajadores con acceso a esta documentación son conscientes de que se trata de información sensible ya que la rompen manualmente, lo que no impide que se pueda acceder en muchas ocasiones a los datos.
Lo cierto es que parece que se tiene bastante claro que tipo de datos deben ser destruidos pero falta el paso siguiente a la simple destrucción manual, que implica articular un sistema para recoger toda la documentación confidencial y sensible de la empresas en papel y destruirla en el típico destructor de papel.
Mención aparte es la información digital a la hora de ser destruida. No basta con formatear el disco duro, sino que debemos sobreescribirlo X veces para asegurarnos de que la información se ha borrado, o destruirlo físicamente para asegurarnos de que no se puede recuperar la información.
Fuente: PYSNNOTICIAS
Fecha: 14/09/2011
El apercibimiento en la LOPD
La Agencia Española de Protección de datos ya está aplicando la figura del apercibimiento regulada en el artículo 45.6 de la LOPD. Esta figura fue introducida por la Ley 3/2011, de Economía Sostenible que modificó el régimen sancionador de la Ley de Protección de Datos. Faculta a la Agencia, en casos excepcionales, para no abrir procedimiento sancionador frente al infractor y en su lugar apercibirle, entiéndase como hacerle un reproche, por los incumplimientos leves o graves que el infractor hubiese cometido, obligándole a adoptar las medidas correctoras que se estimen convenientes para restituir la situación inicial, en el plazo indicado por la Agencia, y que no se vuelva a producir el incumplimiento de la Ley por los mismos motivos.
Si no se restituyese la situación en el plazo indicado, la Agencia continuaría con la apertura del procedimiento sancionador.
Para la aplicación de esta nueva figura se exigen unos requisitos previos o principales, que son que el infractor no fuese sancionado o apercibido con anterioridad y que los hechos fuesen constitutivos como infracción leve o grave según la propia Ley; y unos requisitos accesorios, que no por ello menos importantes, regulados en el art. 45.4 y 45.5 de la misma Ley como pudieran ser el reconocimiento de la responsabilidad, la intencionalidad, volumen de negocio, beneficios obtenidos, regularización de la situación irregular de forma diligente…
La Audiencia Nacional por su parte también está reconociendo la aplicación de esta figura, cuando la Agencia Española no lo ha hecho, y se cumplen los requisitos exigidos en la Ley (Sentencia de 17 de junio de 2011).
El procedimiento a seguir sería el siguiente:
La AEPD recibe denuncia sobre posible vulneración del derecho a la protección de datos de carácter personal. Abre expediente sobre comprobación de los hechos, previa a la apertura del expediente sancionador. En fase de comprobación la AEPD puede solicitar al presunto infractor cuanta documentación estime pertinente. Aunque la LOPD no indica nada sobre el derecho de defensa del presunto infractor, en aplicación del art. 79 de la Ley 30/92 del Procedimiento Administrativo, éste podrá realizar cuantas alegaciones estime conveniente; y realizar comprobaciones presenciales, y en este caso el inspector redactará un acta que será ofrecida para la firma del investigado donde éste podrá efectuar también alegaciones. Como motivos de defensa, en ambos casos, además de los materiales, podríamos aludir a motivos formales o de procedimiento, como pudieran ser los de prescripción de los hechos.
Si se comprueba que efectivamente se está vulnerando el derecho, la Agencia puede actuar de dos modos diferentes.
1º Aplicar la figura del apercibimiento. Para ello deberá comprobar la concurrencia de los requisitos exigidos comentados anteriormente para que se aplique. En este punto, y recordando que uno de los requisitos aplicables es la no sanción o apercibimiento anterior, indicar que si anteriormente el infractor hubiese sido sancionado, o apercibido con anterioridad, se debería comprobar que la sanción hubiere prescrito, en cuyo caso se podría aplicar nuevamente el apercibimiento.
Se le concederá plazo para que realice las medidas correctoras propuestas, y en el caso de que no las aplicara se abriría expediente sancionador.
2º Abrir expediente sancionador, en cuyo caso y si al término del mismo se impusiera sanción calificada como leve o grave el sancionado podría recurrir ante la Audiencia Nacional solicitando la aplicación de la figura del apercibimiento, si se diesen los presupuestos habilitantes.
La aplicación de esta figura supone una nueva oportunidad para la empresa infractora de adaptarse a los requerimientos de la normativa vigente en materia de protección de datos, pero no olvidemos que en teoría sólo se puede aplicar una vez, por lo que lo deseable es que no se tenga que recurrir a ella nunca.
Fuente: El derecho informático
Fecha: 06/09/2011
Si no se restituyese la situación en el plazo indicado, la Agencia continuaría con la apertura del procedimiento sancionador.
Para la aplicación de esta nueva figura se exigen unos requisitos previos o principales, que son que el infractor no fuese sancionado o apercibido con anterioridad y que los hechos fuesen constitutivos como infracción leve o grave según la propia Ley; y unos requisitos accesorios, que no por ello menos importantes, regulados en el art. 45.4 y 45.5 de la misma Ley como pudieran ser el reconocimiento de la responsabilidad, la intencionalidad, volumen de negocio, beneficios obtenidos, regularización de la situación irregular de forma diligente…
La Audiencia Nacional por su parte también está reconociendo la aplicación de esta figura, cuando la Agencia Española no lo ha hecho, y se cumplen los requisitos exigidos en la Ley (Sentencia de 17 de junio de 2011).
El procedimiento a seguir sería el siguiente:
La AEPD recibe denuncia sobre posible vulneración del derecho a la protección de datos de carácter personal. Abre expediente sobre comprobación de los hechos, previa a la apertura del expediente sancionador. En fase de comprobación la AEPD puede solicitar al presunto infractor cuanta documentación estime pertinente. Aunque la LOPD no indica nada sobre el derecho de defensa del presunto infractor, en aplicación del art. 79 de la Ley 30/92 del Procedimiento Administrativo, éste podrá realizar cuantas alegaciones estime conveniente; y realizar comprobaciones presenciales, y en este caso el inspector redactará un acta que será ofrecida para la firma del investigado donde éste podrá efectuar también alegaciones. Como motivos de defensa, en ambos casos, además de los materiales, podríamos aludir a motivos formales o de procedimiento, como pudieran ser los de prescripción de los hechos.
Si se comprueba que efectivamente se está vulnerando el derecho, la Agencia puede actuar de dos modos diferentes.
1º Aplicar la figura del apercibimiento. Para ello deberá comprobar la concurrencia de los requisitos exigidos comentados anteriormente para que se aplique. En este punto, y recordando que uno de los requisitos aplicables es la no sanción o apercibimiento anterior, indicar que si anteriormente el infractor hubiese sido sancionado, o apercibido con anterioridad, se debería comprobar que la sanción hubiere prescrito, en cuyo caso se podría aplicar nuevamente el apercibimiento.
Se le concederá plazo para que realice las medidas correctoras propuestas, y en el caso de que no las aplicara se abriría expediente sancionador.
2º Abrir expediente sancionador, en cuyo caso y si al término del mismo se impusiera sanción calificada como leve o grave el sancionado podría recurrir ante la Audiencia Nacional solicitando la aplicación de la figura del apercibimiento, si se diesen los presupuestos habilitantes.
La aplicación de esta figura supone una nueva oportunidad para la empresa infractora de adaptarse a los requerimientos de la normativa vigente en materia de protección de datos, pero no olvidemos que en teoría sólo se puede aplicar una vez, por lo que lo deseable es que no se tenga que recurrir a ella nunca.
Fuente: El derecho informático
Fecha: 06/09/2011
La Ley Orgánica de Protección de Datos no ofrece una buena protección a los datos sanitarios
El jurista de la UPV/EHU Unai Aberasturi advierte de la inseguridad jurídica de la Ley Orgánica de Protección de Datos (LOPD) y recalca la necesidad la necesidad de una regulación para aportar una buena protección a los datos sanitarios.
Estas conclusiones se derivan del estudio conjunto de la normativa sanitaria y la de LOPD realizado por Aberasturi. Para el jurista, "esta ley habitualmente, deja en manos de la interpretación la manipulación de los datos sanitarios".
En el estudio también se ha tratado de aclarar el contenido de las normas de la LOPD que afectan a la protección de datos, y los derechos de las personas. Aberasturi puntualiza que "la LOPD otorga una protección especial a los datos de salud, por lo se les reconoce un régimen de salvaguarda más estricto".
CALIDAD Y CONSENTIMIENTO
Los principios de calidad son, concretamente, el principio de finalidad, el de pertinencia, y el de veracidad. Según el principio de finalidad, los datos no podrán emplearse para un fin distinto al que motivó su recogida. El investigador explica que "se debería especificar a qué fin de todos los posibles en el sector sanitario como la asistencia, investigación o estadísticas responde dicha recogida".
Por otro lado, el principio de pertinencia consiste en no recabar más datos de los necesarios. Cuando se trata de datos sanitarios, el investigador cree que, ante la duda, es mejor que al profesional le sobre información a que le falte, ya que si no podría ser perjudicial para la salud.
Por último, el principio de veracidad implica cancelar los datos del pasado a medida que se actualizan. En la sanidad, el historial es útil, por lo que esta norma debería flexibilizarse.
Para proteger la salud de los pacientes, la documentación clínica debe ser accesible para el personal sanitario (así lo requiere la normativa sanitaria), así como fluir ágilmente. Por ello, Aberasturi considera que, "hay base suficiente en la LOPD para concluir que el derecho a la autodeterminación informativa cede ante el derecho a la protección de la salud".
TRANSMISIÓN Y DERECHOS PERSONALES
Para el jurista existen otros aspectos a considerar, como la transmisión de datos. La externalización de determinados servicios no es algo ajeno al ámbito sanitario, por lo que el acceso a los datos sanitarios por cuenta de terceros está regulado.
"Los problemas surgen cuando esta transmisión se efectúa a nivel internacional, porque la LOPD no siempre garantiza que la transferencia se realizará a un país seguro en cuanto a protección de datos", explica Aberasturi. En estos casos, se opta por estrechar el cerco y no permitir una interpretación demasiado amplia sobre cuándo se puede transferir información sin repercutir en los derechos de su titular.
La LOPD también contiene una referencia a los derechos de las personas, algunos de los cuales resultan conflictivos en el ámbito sanitario. Aberasturi entiende que, "se trata de una labor fundamental, pero que debe llevarse a cabo en colaboración con los profesionales sanitarios. Por su parte, el derecho de cancelación choca con la normativa sanitaria, que obliga a conservar la documentación clínica durante cierto tiempo. Como solución, en este caso, se debe garantizar que solo se guardan los datos estrictamente necesarios".
Fuente: Informativos Telecinco
Fecha: 25/08/2011
Estas conclusiones se derivan del estudio conjunto de la normativa sanitaria y la de LOPD realizado por Aberasturi. Para el jurista, "esta ley habitualmente, deja en manos de la interpretación la manipulación de los datos sanitarios".
En el estudio también se ha tratado de aclarar el contenido de las normas de la LOPD que afectan a la protección de datos, y los derechos de las personas. Aberasturi puntualiza que "la LOPD otorga una protección especial a los datos de salud, por lo se les reconoce un régimen de salvaguarda más estricto".
CALIDAD Y CONSENTIMIENTO
Los principios de calidad son, concretamente, el principio de finalidad, el de pertinencia, y el de veracidad. Según el principio de finalidad, los datos no podrán emplearse para un fin distinto al que motivó su recogida. El investigador explica que "se debería especificar a qué fin de todos los posibles en el sector sanitario como la asistencia, investigación o estadísticas responde dicha recogida".
Por otro lado, el principio de pertinencia consiste en no recabar más datos de los necesarios. Cuando se trata de datos sanitarios, el investigador cree que, ante la duda, es mejor que al profesional le sobre información a que le falte, ya que si no podría ser perjudicial para la salud.
Por último, el principio de veracidad implica cancelar los datos del pasado a medida que se actualizan. En la sanidad, el historial es útil, por lo que esta norma debería flexibilizarse.
Para proteger la salud de los pacientes, la documentación clínica debe ser accesible para el personal sanitario (así lo requiere la normativa sanitaria), así como fluir ágilmente. Por ello, Aberasturi considera que, "hay base suficiente en la LOPD para concluir que el derecho a la autodeterminación informativa cede ante el derecho a la protección de la salud".
TRANSMISIÓN Y DERECHOS PERSONALES
Para el jurista existen otros aspectos a considerar, como la transmisión de datos. La externalización de determinados servicios no es algo ajeno al ámbito sanitario, por lo que el acceso a los datos sanitarios por cuenta de terceros está regulado.
"Los problemas surgen cuando esta transmisión se efectúa a nivel internacional, porque la LOPD no siempre garantiza que la transferencia se realizará a un país seguro en cuanto a protección de datos", explica Aberasturi. En estos casos, se opta por estrechar el cerco y no permitir una interpretación demasiado amplia sobre cuándo se puede transferir información sin repercutir en los derechos de su titular.
La LOPD también contiene una referencia a los derechos de las personas, algunos de los cuales resultan conflictivos en el ámbito sanitario. Aberasturi entiende que, "se trata de una labor fundamental, pero que debe llevarse a cabo en colaboración con los profesionales sanitarios. Por su parte, el derecho de cancelación choca con la normativa sanitaria, que obliga a conservar la documentación clínica durante cierto tiempo. Como solución, en este caso, se debe garantizar que solo se guardan los datos estrictamente necesarios".
Fuente: Informativos Telecinco
Fecha: 25/08/2011
La delgada línea de la confidencialidad médica
Imagine que su hijo de 14 años acude al médico y en pleno acto de rebeldía adolescente se niega a decirle por qué motivo ha acudido a la consulta. Aunque usted mismo se presente a la mañana siguiente donde el facultativo para solicitar la información, no tiene derecho a saber nada del asunto allí tratado, a no ser que presente la firma del menor. Lo contrario supondría una cesión de datos inconsentida, considerada como una infracción muy grave, que equivaldría a una sanción de entre 300.000 a 600.000 euros, ya que las personas a partir de esa edad se consideran, a efectos de la protección de datos, como adultos.
El allanamiento de la intimidad, como el de una morada, solo puede justificarse por derechos superiores de otros, tales como que de la revelación del secreto médico se extraiga un beneficio para personas indefensas. Este caso sería el de, por ejemplo, revelar que una prostituta con el VIH no usa protección alguna con sus clientes infectando a todo aquel que mantenga relaciones con ella. Pero sería una excepción a la confidencialidad de los datos sanitarios, ya que si ésta se vulnera, no solo está en peligro la intimidad, sino el ejercicio de otros derechos fundamentales, como el de la educación o el del trabajo. Precisamente, la pregunta "¿Qué consecuencias sociolaborales tendría para un paciente la filtración de que un paciente es seropositivo?" sirve de punto de partida para la tesis Los principios de la protección de datos aplicados a la sanidad, del jurista de la Universidad del País Vasco UPV/EHU Unai Aberasturi.
La respuesta a esta cuestión para Aberasturi no puede ser más fácil: es vital que la información sanitaria no se use para ninguna discriminación, por lo que hay que regular la protección de datos médicos. A estos resultados llega tras estudiar lo que dice la Ley Orgánica de Protección de Datos (LOPD) sobre este ámbito, llegando a la conclusión de que, habitualmente, el derecho de confidencialidad va por detrás de la realidad. Se deja en manos de la interpretación, de ahí que el investigador advierta de la inseguridad jurídica respecto a esta materia, y recalque la necesidad de una normativa concreta que regule los datos sanitarios.
Aun así, Aberasturi puntualiza que la LOPD otorga una protección especial a los datos de salud (artículo 7), por lo que les reconoce una salvaguarda más estricta. Bajo este régimen, se deben respetar ciertos principios, como el de finalidad, según el cual los datos no podrán emplearse para un fin distinto al que motivó su recogida. Aberasturi critica que se debería especificar a qué objetivo de todos los posibles en el sector sanitario (asistencia, investigación, entre otros) responde dicha recogida. En cuanto al principio de pertinencia, el autor de la tesis considera conveniente no recabar más datos de los necesarios, ya que el investigador suele creer que, ante la duda, es mejor que sobre información a que le falte, ya que si no podría ser perjudicial para la salud. Otra cuestión a controlar es el principio de veracidad, que implica cancelar los datos del pasado a medida que se actualizan.
los personales Aberasturi también opina que algunos derechos de las personas resultan conflictivos en el ámbito sanitario. Por ejemplo, el de rectificación: "Los datos sanitarios son difíciles de comprender para el ciudadano de a pie, por lo que su titular no debería corregirlos unilateralmente". El autor entiende que se trata de una labor fundamental, pero que debe llevarse a cabo en colaboración con los profesionales sanitarios. También cree que hay que mirar más con lupa el derecho de cancelación porque choca con la normativa sanitaria, que obliga a conservar la documentación clínica durante cierto tiempo. Como solución, en este caso, se debe garantizar que solo se guarden los estrictamente necesarios y que se disocia la información en la medida de lo posible.
El paciente también tiene el derecho de ser informado de un modo que pueda comprender acerca del responsable, destino y uso de sus datos personales. Pero también a que se le brinde toda la información sobre el diagnóstico, tratamiento y pronóstico de su enfermedad en un lenguaje sencillo. Además de ello, hay que darle la posibilidad de participar en las decisiones relacionadas con su tratamiento e incluso de negarse a él, después de que su doctor le explique los pros y los contras de someterse al mismo.
Fuente: Noticias de Gipuzkoa
Fecha: 26/08/2011
El allanamiento de la intimidad, como el de una morada, solo puede justificarse por derechos superiores de otros, tales como que de la revelación del secreto médico se extraiga un beneficio para personas indefensas. Este caso sería el de, por ejemplo, revelar que una prostituta con el VIH no usa protección alguna con sus clientes infectando a todo aquel que mantenga relaciones con ella. Pero sería una excepción a la confidencialidad de los datos sanitarios, ya que si ésta se vulnera, no solo está en peligro la intimidad, sino el ejercicio de otros derechos fundamentales, como el de la educación o el del trabajo. Precisamente, la pregunta "¿Qué consecuencias sociolaborales tendría para un paciente la filtración de que un paciente es seropositivo?" sirve de punto de partida para la tesis Los principios de la protección de datos aplicados a la sanidad, del jurista de la Universidad del País Vasco UPV/EHU Unai Aberasturi.
La respuesta a esta cuestión para Aberasturi no puede ser más fácil: es vital que la información sanitaria no se use para ninguna discriminación, por lo que hay que regular la protección de datos médicos. A estos resultados llega tras estudiar lo que dice la Ley Orgánica de Protección de Datos (LOPD) sobre este ámbito, llegando a la conclusión de que, habitualmente, el derecho de confidencialidad va por detrás de la realidad. Se deja en manos de la interpretación, de ahí que el investigador advierta de la inseguridad jurídica respecto a esta materia, y recalque la necesidad de una normativa concreta que regule los datos sanitarios.
Aun así, Aberasturi puntualiza que la LOPD otorga una protección especial a los datos de salud (artículo 7), por lo que les reconoce una salvaguarda más estricta. Bajo este régimen, se deben respetar ciertos principios, como el de finalidad, según el cual los datos no podrán emplearse para un fin distinto al que motivó su recogida. Aberasturi critica que se debería especificar a qué objetivo de todos los posibles en el sector sanitario (asistencia, investigación, entre otros) responde dicha recogida. En cuanto al principio de pertinencia, el autor de la tesis considera conveniente no recabar más datos de los necesarios, ya que el investigador suele creer que, ante la duda, es mejor que sobre información a que le falte, ya que si no podría ser perjudicial para la salud. Otra cuestión a controlar es el principio de veracidad, que implica cancelar los datos del pasado a medida que se actualizan.
los personales Aberasturi también opina que algunos derechos de las personas resultan conflictivos en el ámbito sanitario. Por ejemplo, el de rectificación: "Los datos sanitarios son difíciles de comprender para el ciudadano de a pie, por lo que su titular no debería corregirlos unilateralmente". El autor entiende que se trata de una labor fundamental, pero que debe llevarse a cabo en colaboración con los profesionales sanitarios. También cree que hay que mirar más con lupa el derecho de cancelación porque choca con la normativa sanitaria, que obliga a conservar la documentación clínica durante cierto tiempo. Como solución, en este caso, se debe garantizar que solo se guarden los estrictamente necesarios y que se disocia la información en la medida de lo posible.
El paciente también tiene el derecho de ser informado de un modo que pueda comprender acerca del responsable, destino y uso de sus datos personales. Pero también a que se le brinde toda la información sobre el diagnóstico, tratamiento y pronóstico de su enfermedad en un lenguaje sencillo. Además de ello, hay que darle la posibilidad de participar en las decisiones relacionadas con su tratamiento e incluso de negarse a él, después de que su doctor le explique los pros y los contras de someterse al mismo.
Fuente: Noticias de Gipuzkoa
Fecha: 26/08/2011
Multan a Endesa con 40.000 euros por dar de alta a un lucense sin su permiso
La compañía Endesa Energía S.A. tendrá que abonar una multa de 40.000 euros por dar de alta a un lucense y utilizar sus datos personales sin contar con su consentimiento, tal y como acaba de ordenar la sala de lo Contencioso de la Audiencia Nacional.
La actuación de la compañía se remonta a marzo del año 2007, cuando la empresa Combray Solutions S.L. -contratada por Endesa-, le envió a ésta un formulario de solicitud de suministro de gas natural con los datos personales del denunciante. Dicho formulario contenía el nombre completo de esta persona, así como la dirección de su vivienda de Lugo, su teléfono, el número de cuenta, y el nombre del producto que supuestamente había contratado. Sin embargo, en el lugar destinado a la firma del cliente figuraba una rúbrica distinta a la de su DNI.
Una vez que recibió el formulario, Endesa Energía incorporó los datos del lucense a su fichero y tramitó su alta con fecha de 12 de septiembre, emitiendo dos meses después la primera factura a su nombre por un importe de 54 euros.
Cuando le llegó el recibo, el denunciante ordenó a su entidad bancaria que lo devolviera y se puso en contacto con la compañía Gas Natural -con la que sí tenía contratado dicho servicio-, para comunicarle que no se había cambiado de empresa ni tenía la intención de hacerlo. Además, envío un telegrama a Endesa para explicar que en ningún momento había firmado un contrato de gas con ellos y solicitó que le dieran de baja de forma inmediata.
El lucense interpuso además una denuncia ante la Xunta de Galicia con fecha de 14 de enero de 2008. Finalmente, quince días más tarde, el 3 de febrero, la empresa denunciada tramitó su baja definitiva.
Por estos hechos, la Agencia Española de Protección de datos le abrió un expediente sancionador a Endesa y en marzo de 2010 le impuso una multa de 60.000 euros por infringir el artículo 6.1 de la Ley Orgánica de Protección de Datos (LOPD), que recoge que el tratamiento de los datos de carácter personal «requerirá el consentimiento inequívoco del afectado», salvo que la ley disponga otra cosa.
Defensa
Contra esta resolución, Endesa Energía interpuso un recurso contencioso ante la Audiencia Nacional, argumentando que su actividad principal es el suministro de energía eléctrica y de gas natural a los consumidores, para lo que emplea, entre otros canales, empresas autónomas como Combray Solutions S.L., que actúan como agentes comerciales. «En estos casos, la compañía Endesa no tiene contacto directo con los clientes, siendo Combray quien recabó los datos remitidos y formalizó las solicitudes de contratación», alegó.
Sin embargo, la Audiencia Nacional explica en su sentencia que es Endesa con quien el interesado firma el contrato de abono, quien incorpora los datos a sus ficheros, emite las facturas, y gira los recibos bancarios. De este modo, considera que la compañía «debe asegurarse» de que los datos de sus clientes, «aunque la recogida se haga a través de terceros», son otorgados con su total consentimiento.
El Tribunal concluye que Endesa «tenía que haber adoptado las medidas de prevención adecuadas para verificar la identidad de una persona cuyos datos personales van a ser objeto de tratamiento».
La sentencia explica igualmente que en marzo del presente año entró en vigor la Ley de Economía Sostenible, que modifica varios artículos de la LOPD y reduce los límites mínimo y máximo de las multas para las infracciones graves. El Tribunal considera adecuado aplicar la nueva normativa en este caso, por lo que rebaja a 40.000 euros la cuantía de la sanción impuesta por la Agencia Española de Protección de Datos a Endesa Energía.
En cuanto a la empresa Combray Solutions, la Audiencia Nacional explica en el fallo que la Xunta puso su actuación en conocimiento de la Fiscalía «por si existiere una posible falsificación de firma del denunciante», aunque desconoce la resolución adoptada.
CONTROL
•La compañía dice que verifica las altas por teléfono. Endesa Energía asegura que dispone de un procedimiento de control a la hora de tramitar las altas. Según alegó, tiene contratado un servicio con una empresa informática que incluye llamadas telefónicas al titular del contrato del suministro para verificar su conformidad.
•Llamada inexistente. Sin embargo, en este caso, la empresa no pudo acreditar que se pusiera en contacto con el denunciante.
Fuente: El Progreso
Fecha: 30/08/2011
La actuación de la compañía se remonta a marzo del año 2007, cuando la empresa Combray Solutions S.L. -contratada por Endesa-, le envió a ésta un formulario de solicitud de suministro de gas natural con los datos personales del denunciante. Dicho formulario contenía el nombre completo de esta persona, así como la dirección de su vivienda de Lugo, su teléfono, el número de cuenta, y el nombre del producto que supuestamente había contratado. Sin embargo, en el lugar destinado a la firma del cliente figuraba una rúbrica distinta a la de su DNI.
Una vez que recibió el formulario, Endesa Energía incorporó los datos del lucense a su fichero y tramitó su alta con fecha de 12 de septiembre, emitiendo dos meses después la primera factura a su nombre por un importe de 54 euros.
Cuando le llegó el recibo, el denunciante ordenó a su entidad bancaria que lo devolviera y se puso en contacto con la compañía Gas Natural -con la que sí tenía contratado dicho servicio-, para comunicarle que no se había cambiado de empresa ni tenía la intención de hacerlo. Además, envío un telegrama a Endesa para explicar que en ningún momento había firmado un contrato de gas con ellos y solicitó que le dieran de baja de forma inmediata.
El lucense interpuso además una denuncia ante la Xunta de Galicia con fecha de 14 de enero de 2008. Finalmente, quince días más tarde, el 3 de febrero, la empresa denunciada tramitó su baja definitiva.
Por estos hechos, la Agencia Española de Protección de datos le abrió un expediente sancionador a Endesa y en marzo de 2010 le impuso una multa de 60.000 euros por infringir el artículo 6.1 de la Ley Orgánica de Protección de Datos (LOPD), que recoge que el tratamiento de los datos de carácter personal «requerirá el consentimiento inequívoco del afectado», salvo que la ley disponga otra cosa.
Defensa
Contra esta resolución, Endesa Energía interpuso un recurso contencioso ante la Audiencia Nacional, argumentando que su actividad principal es el suministro de energía eléctrica y de gas natural a los consumidores, para lo que emplea, entre otros canales, empresas autónomas como Combray Solutions S.L., que actúan como agentes comerciales. «En estos casos, la compañía Endesa no tiene contacto directo con los clientes, siendo Combray quien recabó los datos remitidos y formalizó las solicitudes de contratación», alegó.
Sin embargo, la Audiencia Nacional explica en su sentencia que es Endesa con quien el interesado firma el contrato de abono, quien incorpora los datos a sus ficheros, emite las facturas, y gira los recibos bancarios. De este modo, considera que la compañía «debe asegurarse» de que los datos de sus clientes, «aunque la recogida se haga a través de terceros», son otorgados con su total consentimiento.
El Tribunal concluye que Endesa «tenía que haber adoptado las medidas de prevención adecuadas para verificar la identidad de una persona cuyos datos personales van a ser objeto de tratamiento».
La sentencia explica igualmente que en marzo del presente año entró en vigor la Ley de Economía Sostenible, que modifica varios artículos de la LOPD y reduce los límites mínimo y máximo de las multas para las infracciones graves. El Tribunal considera adecuado aplicar la nueva normativa en este caso, por lo que rebaja a 40.000 euros la cuantía de la sanción impuesta por la Agencia Española de Protección de Datos a Endesa Energía.
En cuanto a la empresa Combray Solutions, la Audiencia Nacional explica en el fallo que la Xunta puso su actuación en conocimiento de la Fiscalía «por si existiere una posible falsificación de firma del denunciante», aunque desconoce la resolución adoptada.
CONTROL
•La compañía dice que verifica las altas por teléfono. Endesa Energía asegura que dispone de un procedimiento de control a la hora de tramitar las altas. Según alegó, tiene contratado un servicio con una empresa informática que incluye llamadas telefónicas al titular del contrato del suministro para verificar su conformidad.
•Llamada inexistente. Sin embargo, en este caso, la empresa no pudo acreditar que se pusiera en contacto con el denunciante.
Fuente: El Progreso
Fecha: 30/08/2011
La AEPD reprende a la consejería canaria de Bienestar
«Relación de menores que no han abonado la cuota del mes de septiembre». Es el encabezamiento de la nota que publicó en el tablón de anuncios de su entrada una escuela infantil dependiente de la que fuera —durante la anterior legislatura— Consejería de Bienestar Social, Juventud y Vivienda del Gobierno de Canarias, que dirigió Inés Rojas. En ella el parvulario público reveló datos personales de la niña de una madre que, al parecer, no había pagado la mensualidad. Ocurría el 5 de octubre de 2009; dos días después, la madre remitía el caso a la Agencia Española de Protección de Datos (AEPD), que el pasado 11 de febrero «reprendió» al departamento del Ejecutivo autonómico por haber infringido el artículo 10 de la Ley Orgánica de Protección de Datos (LOPD).
La denunciante, que envió a la AEPD fotografías del tablón de anuncios y de la nota en cuestión, aseguró además que la publicación de los datos de su hija se hizo sin que le hubieran avisado antes de que figuraba como morosa. En la investigación que desarrolló la Subdirección General de Inspección de Datos, tal como consta en la resolución de la AEPD, la misma consejería afirma que las listas de menores con cuotas pendientes de pago se exponen en «un tablero de corcho que hay en la puerta interior del centro, teniendo acceso a esa información solo los padres de los menores», y que estos deben tener conocimiento previo: «A principios del mes de septiembre de cada curso se les comunica cuáles son las fechas de pago y también lo que se sucedería si no se hace efectivo dicho pago».
Con todo, el director de la AEPD, Artemi Rallo, recuerda al departamento regional —que no presentó alegaciones— que «no ha aportado documentación alguna en relación con el consentimiento de los padres de la menor para que el centro infantil pudiera elaborar el listado de alumnos y exponerlo». Además, subraya que terceras personas pudieron acceder a esos datos personales, lo que «constituye una vulneración de lo dispuesto en el artículo 10 de la LOPD».
Fuente: ABC
Fecha: 22/08/2011
La denunciante, que envió a la AEPD fotografías del tablón de anuncios y de la nota en cuestión, aseguró además que la publicación de los datos de su hija se hizo sin que le hubieran avisado antes de que figuraba como morosa. En la investigación que desarrolló la Subdirección General de Inspección de Datos, tal como consta en la resolución de la AEPD, la misma consejería afirma que las listas de menores con cuotas pendientes de pago se exponen en «un tablero de corcho que hay en la puerta interior del centro, teniendo acceso a esa información solo los padres de los menores», y que estos deben tener conocimiento previo: «A principios del mes de septiembre de cada curso se les comunica cuáles son las fechas de pago y también lo que se sucedería si no se hace efectivo dicho pago».
Con todo, el director de la AEPD, Artemi Rallo, recuerda al departamento regional —que no presentó alegaciones— que «no ha aportado documentación alguna en relación con el consentimiento de los padres de la menor para que el centro infantil pudiera elaborar el listado de alumnos y exponerlo». Además, subraya que terceras personas pudieron acceder a esos datos personales, lo que «constituye una vulneración de lo dispuesto en el artículo 10 de la LOPD».
Fuente: ABC
Fecha: 22/08/2011
Google cumple con la ley a la hora de dar datos de los usuarios a los gobiernos
La respuesta del buscador ante las acusaciones de facilitar información de ciudadanos europeos a las agencias estadounidenses no se ha hecho esperar. La compañía ha asegurado que cumple siempre con la legislación a la hora de colaborar con las instituciones y que se toma muy en serio la privacidad de sus usuarios.
Pronta reacción de Google en la polémica surgida en el día de ayer en torno a la aportación de datos de ciudadanos europeos a las autoridades de Estados Unidos. La compañía ha remitido al artículo aparecido en ZDnet el pasado 28 de junio en el que era Microsoft la firma que admitía que en base a la Patrioct Act (ley antiterrorista en EEUU creada tras el 11-S) podría facilitar información de los usuarios a las agencias de inteligencia estadounidenses.
Según el propio buscador, Google "respeta la legislación vigente" y " cumple con las solicitudes de información siempre que estas cuenten con validez jurídica". La postura de la compañía californiana pasa por tomar "muy en serio la privacidad de los usuarios". "Siempre que recibimos una solicitud oficial, lo primero que hacemos antes de acceder a la misma es asegurarnos de que cumple con la legislación", señala el buscador.
Compromiso con la transparencia por parte de Google
Asimismo, la empresa ha recordado el lanzamiento de la herramienta denominada Transparency Report ("Informes de transparencia"), de la que nos hicmos eco a finales del pasado mes de junio. Con ella se permite saber cuántas peticiones de datos de usuarios y el tipo de información que los gobiernos han pedido al buscador, en lo que consideran un "compromiso con la transparencia".
Los datos aportados por entonces por esta herramienta señalaban que entre los meses de julio y diciembre de 2010, 359 internautas españoles fueron investigados por el Gobierno pidiendo a Google información sobre ellos. El buscador respondió en 219 de estos casos (61%). En la información facilitada por Google se aprecia cómo es el Gobierno estadounidense el más activo con este tipo de solicitudes con 4.601 peticiones en este mismo periodo.
Fuente: ADSLZONE
Fecha: 12/08/2011
Pronta reacción de Google en la polémica surgida en el día de ayer en torno a la aportación de datos de ciudadanos europeos a las autoridades de Estados Unidos. La compañía ha remitido al artículo aparecido en ZDnet el pasado 28 de junio en el que era Microsoft la firma que admitía que en base a la Patrioct Act (ley antiterrorista en EEUU creada tras el 11-S) podría facilitar información de los usuarios a las agencias de inteligencia estadounidenses.
Según el propio buscador, Google "respeta la legislación vigente" y " cumple con las solicitudes de información siempre que estas cuenten con validez jurídica". La postura de la compañía californiana pasa por tomar "muy en serio la privacidad de los usuarios". "Siempre que recibimos una solicitud oficial, lo primero que hacemos antes de acceder a la misma es asegurarnos de que cumple con la legislación", señala el buscador.
Compromiso con la transparencia por parte de Google
Asimismo, la empresa ha recordado el lanzamiento de la herramienta denominada Transparency Report ("Informes de transparencia"), de la que nos hicmos eco a finales del pasado mes de junio. Con ella se permite saber cuántas peticiones de datos de usuarios y el tipo de información que los gobiernos han pedido al buscador, en lo que consideran un "compromiso con la transparencia".
Los datos aportados por entonces por esta herramienta señalaban que entre los meses de julio y diciembre de 2010, 359 internautas españoles fueron investigados por el Gobierno pidiendo a Google información sobre ellos. El buscador respondió en 219 de estos casos (61%). En la información facilitada por Google se aprecia cómo es el Gobierno estadounidense el más activo con este tipo de solicitudes con 4.601 peticiones en este mismo periodo.
Fuente: ADSLZONE
Fecha: 12/08/2011
Suscribirse a:
Entradas (Atom)
Entradas
