La recién aprobada Ley de Economía Sostenible ha modificado finalmente, a través de su Disposición final quincuagésima octava, el Régimen sancionador de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.
Los cambios fundamentales que entrarán en vigor tras la publicación de la Norma en el Boletín Oficial del Estado son, en síntesis, los siguientes:
ü Introducción de la figura del apercibimiento como alternativa a la multa, de modo que la Agencia Española de Protección de Datos puede aplicarlo de forma excepcional, no iniciando el procedimiento sancionador cuando los hechos fuesen constitutivos de infracción leve o grave y el infractor no hubiese sido sancionado o apercibido con anterioridad.
ü Eliminación o modificación de la calificación de determinadas infracciones. En concreto, la cesión de datos que no sean especialmente protegidos se tipifica como infracción grave, en lugar de muy grave, y la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 constituye una infracción leve.
ü Ampliación del número de criterios para graduar las sanciones o aplicar atenuantes. A efectos ejemplificativos, se permite graduar el importe de la sanción en función del volumen de negocio del infractor o si el mismo si acredita que tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal. En cuanto a las nuevas atenuantes cabe destacar el reconocimiento espontáneo de su culpabilidad por parte del infractor.
ü Por último, se aumenta la cuantía mínima de las sanciones correspondientes a las infracciones leves (de 601,01 a 900 Euros) y se reduce el límite superior (de 60.101,01 a 40.000 Euros).
En resumen, la reforma apuesta por incentivar los mecanismos de advertencia y seguimiento para lograr un cumplimiento real por parte de las compañías, reduciendo posiblemente la apertura de procedimientos sancionadores, a través del apercibimiento, requiriendo la adopción de las correspondientes medidas; y en caso de que se inicie el procedimiento sancionador, permite modular la imposición de multas, en la medida en que refuerza los criterios objetivos para valorar las circunstancias concurrentes en la comisión de las infracciones.
Únicamente quedaría esperar a su publicación en el BOE y su fecha de entrada en vigor, en los próximos días.
Carlos Alberto Sáiz Peña. Socio Responsable del Área de Governance, Risk & Compliance de ECIJA
Nota de Prensa de ECIJA
Fecha: 18/02/2011
martes, 22 de febrero de 2011
La AEPD investiga la filtración de datos personales a Nintendo
Nintendo Ibérica ha reconocido la filtración de datos personales de 4.000 usuarios de una de sus bases de datos relacionada con la promoción de una campaña puesta en marcha por la compañía para probar la Nintendo 3DS. La Agencia Española de Proteccion de Datos (AEPD) ha tomado cartas en el asunto y ya investiga la denuncia impuesta por Nintendo.
Un internauta, apodado adan gecko, envió un correo a la compañía en el que describía la existencia de un fallo de seguridad de la página promocional del evento, por el cuál había accedido a la base de datos de la campaña. En el correo se decía que “Dada la gravedad de la infracción es mi deber como ciudadano comunicar su existencia a las autoridades y eventualmente a los afectados por ella. No obstante, he de reconocer que por mi parte existe cierto interés y admiración por su empresa y sus productos, y que por lo tanto no querría perjudicar su imagen, cosa que seguramente ocurriría si la situación llegase a conocimiento público. Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente”.
Nintendo consideró que estaba siendo objeto de un chantaje. Según fuentes de la compañía, no respondieron al mismo y denunciaron el hecho a la policía.
Adan gecko, a través de Elotrolado.net, ha descrito su versión de lo sucedido. Mientras que Nintendo asegura que han sometido la página a peritaje exterior y se han detectado maniobras de hacking, el autor niega que se necesitara ninguna habilidad para acceder a los datos personales del sitio Prueba y Verás. Bastaba con ir a la página de admisión y sin introducir ningún dato personal tras clicar en el botón de enviar se accedía al citado listado.
En el citado foro, el internauta, que publicó los correos, escribe que lamenta que sus palabras se malinterpretasen. El alcance que quiso dar al término “negociación” es objeto de debate en el propio foro.
FUENTE: EL PAÍS
Un internauta, apodado adan gecko, envió un correo a la compañía en el que describía la existencia de un fallo de seguridad de la página promocional del evento, por el cuál había accedido a la base de datos de la campaña. En el correo se decía que “Dada la gravedad de la infracción es mi deber como ciudadano comunicar su existencia a las autoridades y eventualmente a los afectados por ella. No obstante, he de reconocer que por mi parte existe cierto interés y admiración por su empresa y sus productos, y que por lo tanto no querría perjudicar su imagen, cosa que seguramente ocurriría si la situación llegase a conocimiento público. Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente”.
Nintendo consideró que estaba siendo objeto de un chantaje. Según fuentes de la compañía, no respondieron al mismo y denunciaron el hecho a la policía.
Adan gecko, a través de Elotrolado.net, ha descrito su versión de lo sucedido. Mientras que Nintendo asegura que han sometido la página a peritaje exterior y se han detectado maniobras de hacking, el autor niega que se necesitara ninguna habilidad para acceder a los datos personales del sitio Prueba y Verás. Bastaba con ir a la página de admisión y sin introducir ningún dato personal tras clicar en el botón de enviar se accedía al citado listado.
En el citado foro, el internauta, que publicó los correos, escribe que lamenta que sus palabras se malinterpretasen. El alcance que quiso dar al término “negociación” es objeto de debate en el propio foro.
FUENTE: EL PAÍS
El Inteco recibe una mención especial por su labor en protección de datos
El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha recibido una mención especial en el VI Premio a las Mejores Prácticas en Administraciones Públicas en Materia de Protección de Datos, que otorga la Agencia de Protección de Datos de la Comunidad de Madrid y que en esta edición ha premiado al Ayuntamiento de Zaragoza por el protocolo de actuación en materia de protección de datos de carácter personal web municipal.
El objetivo de los galardones es reconocer las experiencias o proyectos más sobresalientes en el ámbito europeo en la protección de datos de carácter personal en las Administraciones Públicas.
El director general de Inteco, Víctor Izquierdo, recogió el reconocimiento a la labor del Instituto en el desarrollo de proyectos dirigidos a mejorar la protección de datos personales, que incluyen principalmente actividades de Información, Difusión, Sensibilización y Formación.
La información y la sensibilización se llevan a cabo mediante la realización de estudios de investigación sobre la protección de datos personales y la elaboración de guías que incluyen recomendaciones para Administraciones, Empresas o Ciudadanos. Asimismo, Inteco publica guías monográficas sobre la privacidad y el derecho a la intimidad en Internet o la protección de los datos del menor.
En el portal web del Instituto se ofrecen además servicios como el blog de seguridad, los foros de seguridad y el servicio de asesoría legal sobre protección de datos. También se ponen a disposición del público herramientas informáticas gratuitas para la protección de los sistemas de información, así como el Catálogo de Empresas y Soluciones de seguridad disponibles en el mercado.
La formación en protección de datos es un pilar fundamental en la actividad de Inteco. Así el catálogo de cursos de Intecoincluye títulos como 'LOPD en la PYME: Adecuación y Cumplimiento' e 'Introducción a los SGSI'. Por otra parte, mediante formación online se imparten cursos de Legislación y Formación sobre Derechos y Deberes de la Ley Orgánica de Protección de Datos.
Desde el año 2008, Inteco organiza además jornadas de sensibilización en materia de seguridad de la información, que incluyen los aspectos de la protección de datos personales.
Con estos servicios a ciudadanos, pymes y Administraciones Públicas, Inteco impulsa el conocimiento, las herramientas y las buenas prácticas que permiten reforzar la protección de los datos personales, salvaguardar los derechos de los ciudadanos y, en definitiva, aumentar la confianza en la Sociedad de la Información en nuestro país.
Fuente: Leonoticias
Fecha: 15/02/2011
El objetivo de los galardones es reconocer las experiencias o proyectos más sobresalientes en el ámbito europeo en la protección de datos de carácter personal en las Administraciones Públicas.
El director general de Inteco, Víctor Izquierdo, recogió el reconocimiento a la labor del Instituto en el desarrollo de proyectos dirigidos a mejorar la protección de datos personales, que incluyen principalmente actividades de Información, Difusión, Sensibilización y Formación.
La información y la sensibilización se llevan a cabo mediante la realización de estudios de investigación sobre la protección de datos personales y la elaboración de guías que incluyen recomendaciones para Administraciones, Empresas o Ciudadanos. Asimismo, Inteco publica guías monográficas sobre la privacidad y el derecho a la intimidad en Internet o la protección de los datos del menor.
En el portal web del Instituto se ofrecen además servicios como el blog de seguridad, los foros de seguridad y el servicio de asesoría legal sobre protección de datos. También se ponen a disposición del público herramientas informáticas gratuitas para la protección de los sistemas de información, así como el Catálogo de Empresas y Soluciones de seguridad disponibles en el mercado.
La formación en protección de datos es un pilar fundamental en la actividad de Inteco. Así el catálogo de cursos de Intecoincluye títulos como 'LOPD en la PYME: Adecuación y Cumplimiento' e 'Introducción a los SGSI'. Por otra parte, mediante formación online se imparten cursos de Legislación y Formación sobre Derechos y Deberes de la Ley Orgánica de Protección de Datos.
Desde el año 2008, Inteco organiza además jornadas de sensibilización en materia de seguridad de la información, que incluyen los aspectos de la protección de datos personales.
Con estos servicios a ciudadanos, pymes y Administraciones Públicas, Inteco impulsa el conocimiento, las herramientas y las buenas prácticas que permiten reforzar la protección de los datos personales, salvaguardar los derechos de los ciudadanos y, en definitiva, aumentar la confianza en la Sociedad de la Información en nuestro país.
Fuente: Leonoticias
Fecha: 15/02/2011
Archivada la denuncia del pedaneo de Perín del PP contra Juan Luis Martínez Madrid ante la Agencia Española de Protección de Datos
El pasado 18 de Febrero de 2.010, el presidente de la Junta Vecinal de Perín, Pedro Gallego Agüera, interpuso denuncia ante la Agencia Española de Protección de Datos, por entender que Juan Luis Martínez Madrid había vulnerado la ley 15/1999 de Protección de Datos de Carácter Personal (LOPD) al publicarse en el blog "La voz de los ciudadanos" datos personales del denunciante así como su cuenta bancaria. SPCT quiere poner de manifiesto que la LOPD, en su artículo 45, establece sanciones que pueden llegar hasta los 600.000 euros.
Con fecha 2 de Febrero de 2.011 la Agencia Española de Protección de Datos decidió archivar la denuncia interpuesta por el Presidente de la Junta Vecinal de Perín, contra el secretario general de SPCT, al entender que nada de lo que era acusado, ha resultado ser cierto.
En los últimos días hemos asistido a las palabras desproporcionadas de la Sra. Alcaldesa, cargando contra la concejala Carmen Martínez, acusándola de actitud deleznable, vertiendo sobre ellas acusaciones falsas sobre manifestaciones acusatorias de corrupción en los medios de comunicación contra la Sra. Montero, que en ningún caso se han producido y exigiéndole la petición de perdón público por el archivo de la causa del CAI de la Aljorra, por parte del Juzgado de Instrucción n° 5 de Cartagena, en virtud de la imputación penal que la Fiscalía del Tribunal Superior de Justicia de Murcia hizo en su día contra la Sra. Montero.
Desde SPCT queremos manifestar, que la petición de perdón pública que exigía la Sra Alcaldesa hace unos días, debiera haberla exigido si así lo estimaba conveniente, a la Fiscalía del Tribunal Superior de Justicia de Murcia, que fue quién vio indicios de delito y envió el caso al Juzgado, ante la información puesta a su disposición por la concejala Carmen Martínez.
En segundo lugar que los excesos verbales de la Sra. Alcaldesa tienen en el día de hoy su justa contestación, al archivar una demanda puesta por un dirigente municipal de su partido, designado por ella, que utilizando las vías que considero oportunas en su día, acusó al secretario general de SPCT de un delito que ha resultado archivado.
Por último desde SPCT no le vamos a pedir a la Sra. Alcaldesa, como hizo ella, que pida perdón público, puesto que los ejercicios de demagogia, teatro político y falsa ofensa no entran dentro de nuestra forma de actuar. En cambio desde SPCT le vamos a recomendar mesura en sus manifestaciones, porque sus salidas de tono, bastante habituales, no son propias de la regidora de un municipio de más de 200.000 habitantes, porque aunque ella no lo crea, lo que dice y hace proyectan una imagen lamentable de la ciudad de Cartagena.
Fuente: Murcia.com
Fecha: 10/02/2011
Con fecha 2 de Febrero de 2.011 la Agencia Española de Protección de Datos decidió archivar la denuncia interpuesta por el Presidente de la Junta Vecinal de Perín, contra el secretario general de SPCT, al entender que nada de lo que era acusado, ha resultado ser cierto.
En los últimos días hemos asistido a las palabras desproporcionadas de la Sra. Alcaldesa, cargando contra la concejala Carmen Martínez, acusándola de actitud deleznable, vertiendo sobre ellas acusaciones falsas sobre manifestaciones acusatorias de corrupción en los medios de comunicación contra la Sra. Montero, que en ningún caso se han producido y exigiéndole la petición de perdón público por el archivo de la causa del CAI de la Aljorra, por parte del Juzgado de Instrucción n° 5 de Cartagena, en virtud de la imputación penal que la Fiscalía del Tribunal Superior de Justicia de Murcia hizo en su día contra la Sra. Montero.
Desde SPCT queremos manifestar, que la petición de perdón pública que exigía la Sra Alcaldesa hace unos días, debiera haberla exigido si así lo estimaba conveniente, a la Fiscalía del Tribunal Superior de Justicia de Murcia, que fue quién vio indicios de delito y envió el caso al Juzgado, ante la información puesta a su disposición por la concejala Carmen Martínez.
En segundo lugar que los excesos verbales de la Sra. Alcaldesa tienen en el día de hoy su justa contestación, al archivar una demanda puesta por un dirigente municipal de su partido, designado por ella, que utilizando las vías que considero oportunas en su día, acusó al secretario general de SPCT de un delito que ha resultado archivado.
Por último desde SPCT no le vamos a pedir a la Sra. Alcaldesa, como hizo ella, que pida perdón público, puesto que los ejercicios de demagogia, teatro político y falsa ofensa no entran dentro de nuestra forma de actuar. En cambio desde SPCT le vamos a recomendar mesura en sus manifestaciones, porque sus salidas de tono, bastante habituales, no son propias de la regidora de un municipio de más de 200.000 habitantes, porque aunque ella no lo crea, lo que dice y hace proyectan una imagen lamentable de la ciudad de Cartagena.
Fuente: Murcia.com
Fecha: 10/02/2011
Sanciones por enviar correos sin copia oculta (CCO)
En estos últimos días estoy recibiendo algunos correos de amigos, reenviados a su vez de otras personas, en los que con un cierto tono alarmista se nos trata de informar para que tengamos cuidado, ya que la Agencia Española de Protección de Datos está poniendo sanciones por no usar la copia oculta (CCO).
Estos correos dicen cosas como "Ojo al dato": Ya hay alguna sentencia por reenviar correos sin quitar los datos anteriores de otros usuarios. Todo vale, con el fin de recaudar dinero de los ciudadanos. Multas por mandar correos sin copia oculta. Multa de 600€ por no usar la CCO. Varios ciudadanos han sido multados con 600€ por no borrar direcciones a reenviar correos.
Quien elabora y difunde estas informaciones (que después circulan por la red a través de reenvíos masivos que hacen ciudadanos de buena fe), probablemente no conoce o conoce poco el derecho y mas concretamente la Ley Orgánica de Protección de Datos y su Reglamento. Por ello, es bueno que los juristas intervengamos para matizar, concretar y colocar en su sitio esta equivocada información.
Es cierto que la Agencia Española de Protección de Datos, entiende que la dirección de correo electrónico es un dato de carácter personal y en algunas contadas ocasiones, ha sancionado a personas físicas por haber enviado correos electrónicos sin utilizar la CCO. Pero no es menos cierto que la sanción a estos ciudadanos se aplicó no por el uso del correo en el ámbito doméstico, sino porque se trataba de usos en actividades profesionales o empresariales y en estos casos sí que resulta aplicable la Ley Orgánica de Protección de Datos. La AEPD sancionó a estas personas argumentando que cuando los datos que tenemos en nuestras agendas personales, salen de esta esfera personal y son utilizados para fines profesionales o empresariales, nos encontraríamos ante un tratamiento de datos incardinado en el ámbito de aplicación de la LOPD.
La LOPD en su artículo 2.2. referido al ámbito de aplicación de la misma, dice tasativamente: La presente Ley Orgánica no será de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Así que cuando yo, no como profesional, sino desde mi casa, como persona privada, envío correos a mis contactos personales, aunque no utilice la CCO, nunca, en ningún caso, podré ser sancionado por la AEPD ya que estas actividades no están comprendidas en el ámbito de aplicación de la LOPD. En la misma línea se pronuncia la Directiva 95/46/CE del Parlamento Europeo que declara que deben de excluirse de la aplicación de la Ley: “el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, como la correspondencia y la llevanza de un repertorio de direcciones”.
Por consiguiente, si yo como particular (no como profesional) tengo un fichero electrónico con todas las direcciones de mis amigos, algo que como todos los que usamos un pc conocemos, aunque esta actividad técnicamente pueda considerarse un tratamiento de datos, conforme al artículo 2.2 de la LOPD antes transcrito, en modo alguno va a quedar sujeto al ámbito de aplicación de la misma. Lo que cuenta para la Ley, no es que técnicamente se esté realizando un tratamiento de datos, sino que dicho tratamiento se está realizando en un ámbito exclusivamente doméstico o personal.
Así pues, tenemos que tener muy claro que esos envíos que podemos realizar a las direcciones electrónicas que tenemos de nuestros amigos, en el ámbito estrictamente personal, no van a ser sancionadas por la AEPD. Otra cosa muy diferente es que siempre resulta recomendable que hagamos envíos preservando la identidad de nuestros contactos mediante la utilización de la CCO e igualmente que, cuando vayamos a reenviar esos correos, procuremos borrar todas las direcciones electrónicas que aparezcan en ellos y ello por dos razones muy importantes:
Una porque tenemos que ser respetuosos con esas personas que tenemos incluidas en nuestros contactos a las que quizá no les guste que facilitemos su dirección a otras personas. Debemos de ser prudentes y no revelar su identidad. Otra, porque si no nos tomamos estas precauciones, estaremos facilitando esa mala práctica que es el Spam y no estaremos contribuyendo a su eliminación.
Fuente: Madridout
Fecha: 11/02/2011
Estos correos dicen cosas como "Ojo al dato": Ya hay alguna sentencia por reenviar correos sin quitar los datos anteriores de otros usuarios. Todo vale, con el fin de recaudar dinero de los ciudadanos. Multas por mandar correos sin copia oculta. Multa de 600€ por no usar la CCO. Varios ciudadanos han sido multados con 600€ por no borrar direcciones a reenviar correos.
Quien elabora y difunde estas informaciones (que después circulan por la red a través de reenvíos masivos que hacen ciudadanos de buena fe), probablemente no conoce o conoce poco el derecho y mas concretamente la Ley Orgánica de Protección de Datos y su Reglamento. Por ello, es bueno que los juristas intervengamos para matizar, concretar y colocar en su sitio esta equivocada información.
Es cierto que la Agencia Española de Protección de Datos, entiende que la dirección de correo electrónico es un dato de carácter personal y en algunas contadas ocasiones, ha sancionado a personas físicas por haber enviado correos electrónicos sin utilizar la CCO. Pero no es menos cierto que la sanción a estos ciudadanos se aplicó no por el uso del correo en el ámbito doméstico, sino porque se trataba de usos en actividades profesionales o empresariales y en estos casos sí que resulta aplicable la Ley Orgánica de Protección de Datos. La AEPD sancionó a estas personas argumentando que cuando los datos que tenemos en nuestras agendas personales, salen de esta esfera personal y son utilizados para fines profesionales o empresariales, nos encontraríamos ante un tratamiento de datos incardinado en el ámbito de aplicación de la LOPD.
La LOPD en su artículo 2.2. referido al ámbito de aplicación de la misma, dice tasativamente: La presente Ley Orgánica no será de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Así que cuando yo, no como profesional, sino desde mi casa, como persona privada, envío correos a mis contactos personales, aunque no utilice la CCO, nunca, en ningún caso, podré ser sancionado por la AEPD ya que estas actividades no están comprendidas en el ámbito de aplicación de la LOPD. En la misma línea se pronuncia la Directiva 95/46/CE del Parlamento Europeo que declara que deben de excluirse de la aplicación de la Ley: “el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, como la correspondencia y la llevanza de un repertorio de direcciones”.
Por consiguiente, si yo como particular (no como profesional) tengo un fichero electrónico con todas las direcciones de mis amigos, algo que como todos los que usamos un pc conocemos, aunque esta actividad técnicamente pueda considerarse un tratamiento de datos, conforme al artículo 2.2 de la LOPD antes transcrito, en modo alguno va a quedar sujeto al ámbito de aplicación de la misma. Lo que cuenta para la Ley, no es que técnicamente se esté realizando un tratamiento de datos, sino que dicho tratamiento se está realizando en un ámbito exclusivamente doméstico o personal.
Así pues, tenemos que tener muy claro que esos envíos que podemos realizar a las direcciones electrónicas que tenemos de nuestros amigos, en el ámbito estrictamente personal, no van a ser sancionadas por la AEPD. Otra cosa muy diferente es que siempre resulta recomendable que hagamos envíos preservando la identidad de nuestros contactos mediante la utilización de la CCO e igualmente que, cuando vayamos a reenviar esos correos, procuremos borrar todas las direcciones electrónicas que aparezcan en ellos y ello por dos razones muy importantes:
Una porque tenemos que ser respetuosos con esas personas que tenemos incluidas en nuestros contactos a las que quizá no les guste que facilitemos su dirección a otras personas. Debemos de ser prudentes y no revelar su identidad. Otra, porque si no nos tomamos estas precauciones, estaremos facilitando esa mala práctica que es el Spam y no estaremos contribuyendo a su eliminación.
Fuente: Madridout
Fecha: 11/02/2011
lunes, 21 de febrero de 2011
Protección de Datos investiga el error en el envío de 250 multas de tráfico
La Agencia Vasca de Protección de Datos ha abierto una investigación por el error cometido en el envío de 250 multas del Ayuntamiento de Bilbao -de una remesa de 8.000- el pasado diciembre. Debido a un fallo en la impresión de los documentos, a doble cara, hubo un cruce entre las denuncias de tráfico y las direcciones, de modo que a cada destinatario le llegó la multa de otra persona. Una afectada ha presentado una reclamación por la revelación de sus datos personales y del procedimiento sancionador en el que está inmersa, ya en la vía ejecutiva, a sus vecinos.
La denunciante vive en un municipio pequeño y trabaja como médico desde hace varios años. Fue uno de sus pacientes, durante una consulta, quien le informó de que había recibido una multa a su nombre. Una situación rocambolesca que le ha perjudicado porque en su profesión «es vital mantener una buena imagen pública» para inspirar confianza, según explica en la denuncia. En la carta que recibió uno de sus vecinos figuraba, además del importe y el lugar de la infracción, su dirección, DNI y el número de matrícula de su coche, «datos personales que incluso podrían haber sido usados de mala fe con consecuencias más graves».
Ahora pide que se sancione al Ayuntamiento «por infracción grave» al haber vulnerado los derechos que garantiza a los ciudadanos la Ley de Protección de Datos. La agencia vasca ha abierto una investigación que puede acabar con el archivo del expediente o con «un procedimiento de infracción», según explican fuentes del organismo adscrito al Departamento de Justicia del Gobierno vasco. En caso de que se imponga una sanción, la familia acudirá a los tribunales para reclamar una indemnización de 10.000 euros por daños y perjuicios, importe calculado «en base a la ley y a sentencias precedentes».
También va a presentar una reclamación administrativa por «el mal funcionamiento de los servicios públicos». El Ayuntamiento ha enviado una carta a los afectados -todos ellos infractores- en la que pide disculpas por el error y recuerda que en ningún caso invalida la denuncia de tráfico, ya que afecta a una misiva «meramente informativa» y no a una notificación oficial.
Aunque inicialmente se atribuyó a un fallo informático de la empresa subcontratada para tramitar las multas en la vía ejecutiva, después se comprobó «un desajuste» en el proceso de impresión. Una situación «sin precedentes en 25 años», como explicó la concejala de Hacienda, Marta Ajuria, en una comparecencia solicitada por PP y PSE. El edil popular Carlos García preguntó entonces si se adoptaría alguna medida de gracia con los afectados «por el quebranto que supone para algunos de ellos» y si se había consultado con la asesoría jurídica ante posibles recursos. La concejala respondió que se han reforzado los controles de calidad y que se ha abierto expediente a la empresa «para depurar posibles responsabilidades».
La denunciante vive en un municipio pequeño y trabaja como médico desde hace varios años. Fue uno de sus pacientes, durante una consulta, quien le informó de que había recibido una multa a su nombre. Una situación rocambolesca que le ha perjudicado porque en su profesión «es vital mantener una buena imagen pública» para inspirar confianza, según explica en la denuncia. En la carta que recibió uno de sus vecinos figuraba, además del importe y el lugar de la infracción, su dirección, DNI y el número de matrícula de su coche, «datos personales que incluso podrían haber sido usados de mala fe con consecuencias más graves».
Ahora pide que se sancione al Ayuntamiento «por infracción grave» al haber vulnerado los derechos que garantiza a los ciudadanos la Ley de Protección de Datos. La agencia vasca ha abierto una investigación que puede acabar con el archivo del expediente o con «un procedimiento de infracción», según explican fuentes del organismo adscrito al Departamento de Justicia del Gobierno vasco. En caso de que se imponga una sanción, la familia acudirá a los tribunales para reclamar una indemnización de 10.000 euros por daños y perjuicios, importe calculado «en base a la ley y a sentencias precedentes».
También va a presentar una reclamación administrativa por «el mal funcionamiento de los servicios públicos». El Ayuntamiento ha enviado una carta a los afectados -todos ellos infractores- en la que pide disculpas por el error y recuerda que en ningún caso invalida la denuncia de tráfico, ya que afecta a una misiva «meramente informativa» y no a una notificación oficial.
Aunque inicialmente se atribuyó a un fallo informático de la empresa subcontratada para tramitar las multas en la vía ejecutiva, después se comprobó «un desajuste» en el proceso de impresión. Una situación «sin precedentes en 25 años», como explicó la concejala de Hacienda, Marta Ajuria, en una comparecencia solicitada por PP y PSE. El edil popular Carlos García preguntó entonces si se adoptaría alguna medida de gracia con los afectados «por el quebranto que supone para algunos de ellos» y si se había consultado con la asesoría jurídica ante posibles recursos. La concejala respondió que se han reforzado los controles de calidad y que se ha abierto expediente a la empresa «para depurar posibles responsabilidades».
miércoles, 2 de febrero de 2011
El Tribunal Supremo obliga a retirar las cámaras de seguridad que afectan a la intimidad de los vecinos
La intimidad está por encima de todo y por eso el Supremo ha dictaminado contra las cámaras de vigilancia que graban a los vecinos. Lo que ha hecho el alto tribunal es confirmar una sentencia que condenó a un hombre a indemnizar a un vecino con 300 euros por haber instalado unas cámaras de seguridad en su vivienda -con unos potentes focos de luz para grabar de noche- con las que también grababa las entradas y salidas de la casa colindante.
La Sala de lo Civil del TS desestima de esta forma el recurso del condenado contra la sentencia dictada en 2007 por la Audiencia Provincial de Santa Cruz de Tenerife, que concluye que "no se trata de meras molestias que deban soportarse en el orden de los acontecimientos normales de la vida". Las cámaras eran para vigilar el acceso principal y único directo a la vivienda del recurrente -una edificación lujosa en una zona aislada- y de modo tangencial podían apreciarse los accesos a un lateral de la edificación vecina, en concreto a tres de las puertas.
Carmelo G. demandó a Gunter R. por las grabaciones efectuadas por las cámaras y un Juzgado de Primera Instancia la desestimó al considerar que no existía intromisión ilegítima en el derecho a la intimidad. Para este Juzgado, no se había aportado prueba de la que quepa deducir que la instalación de las cámaras en la vivienda del demandado respondiera a otro propósito que a motivos de seguridad. Tras ello, el vecino recurrió esta decisión y la Audiencia de Santa Cruz de Tenerife le dio la razón al considerar que la grabación de esas imágenes suponían un control o vigilancia "sobre una faceta que toda persona reserva para sí misma o su círculo íntimo".
Retirada de las cámaras
La Audiencia argumentó que "el hecho de que pueda apreciarse tangencialmente a alguien entrando o saliendo, sin poderse determinar siquiera quien es por alguno de esos accesos afecta a la esfera íntima del actor". Este tribunal acordó que se retiraran las cámaras de la discordia, así como una indemnización de 300 euros para el vecino por los daños y perjuicios ocasionados por la instalación de potentes focos de luz para la grabación de imágenes nocturnas. Para la Audiencia de Santa Cruz de Tenerife no se había acreditado que existiera una situación de inseguridad que justificara la colocación de las cámaras "pudiendo establecerse otros medios menos invasivos para garantizar esa seguridad".
Ahora el Supremo señala que, en aplicación de la doctrina del Tribunal Constitucional, la medida adoptada no era proporcionada para el fin pretendido de seguridad, pues para garantizar esta seguridad se invadía la intimidad de otra persona. La sentencia -de la que ha sido ponente el presidente de la Sala de lo Civil del Supremo, Juan Antonio Xiol- añade que se podrían haber instalado de otra forma, "sin grabar las puertas del domicilio del recurrido". "Además, la instalación adicional de los focos de luz que permiten la grabación de imágenes nocturnas con sucesivos episodios de encender y apagar es una molestia adicional", concluye el alto tribunal, que considera que hay que indemnizar al vecino por existir un daño relevante que ha repercutido en su salud psíquica.
Fuente: El Diario Vasco
Fecha: 31/01/2011
La Sala de lo Civil del TS desestima de esta forma el recurso del condenado contra la sentencia dictada en 2007 por la Audiencia Provincial de Santa Cruz de Tenerife, que concluye que "no se trata de meras molestias que deban soportarse en el orden de los acontecimientos normales de la vida". Las cámaras eran para vigilar el acceso principal y único directo a la vivienda del recurrente -una edificación lujosa en una zona aislada- y de modo tangencial podían apreciarse los accesos a un lateral de la edificación vecina, en concreto a tres de las puertas.
Carmelo G. demandó a Gunter R. por las grabaciones efectuadas por las cámaras y un Juzgado de Primera Instancia la desestimó al considerar que no existía intromisión ilegítima en el derecho a la intimidad. Para este Juzgado, no se había aportado prueba de la que quepa deducir que la instalación de las cámaras en la vivienda del demandado respondiera a otro propósito que a motivos de seguridad. Tras ello, el vecino recurrió esta decisión y la Audiencia de Santa Cruz de Tenerife le dio la razón al considerar que la grabación de esas imágenes suponían un control o vigilancia "sobre una faceta que toda persona reserva para sí misma o su círculo íntimo".
Retirada de las cámaras
La Audiencia argumentó que "el hecho de que pueda apreciarse tangencialmente a alguien entrando o saliendo, sin poderse determinar siquiera quien es por alguno de esos accesos afecta a la esfera íntima del actor". Este tribunal acordó que se retiraran las cámaras de la discordia, así como una indemnización de 300 euros para el vecino por los daños y perjuicios ocasionados por la instalación de potentes focos de luz para la grabación de imágenes nocturnas. Para la Audiencia de Santa Cruz de Tenerife no se había acreditado que existiera una situación de inseguridad que justificara la colocación de las cámaras "pudiendo establecerse otros medios menos invasivos para garantizar esa seguridad".
Ahora el Supremo señala que, en aplicación de la doctrina del Tribunal Constitucional, la medida adoptada no era proporcionada para el fin pretendido de seguridad, pues para garantizar esta seguridad se invadía la intimidad de otra persona. La sentencia -de la que ha sido ponente el presidente de la Sala de lo Civil del Supremo, Juan Antonio Xiol- añade que se podrían haber instalado de otra forma, "sin grabar las puertas del domicilio del recurrido". "Además, la instalación adicional de los focos de luz que permiten la grabación de imágenes nocturnas con sucesivos episodios de encender y apagar es una molestia adicional", concluye el alto tribunal, que considera que hay que indemnizar al vecino por existir un daño relevante que ha repercutido en su salud psíquica.
Fuente: El Diario Vasco
Fecha: 31/01/2011
Detenido un pirata informático de 16 años por extorsionar a una empresa a la que robó datos de más de 250.000 clientes
Un pirata informático de 16 años ha sido detenido en Asturias por extorsionar a una empresa a la que robó datos de más de 250.00 clientes. El cracker exigió a la compañía 2.500 euros a cambio de no revelar números de DNI, contraseñas y datos de empleados, colaboradores y distribuidores de una mercantil del sector informático, a cuyos servidores accedió ilícitamente, según una nota que la Policía Nacional ha hecho pública hoy, coincidiendo con el Día Europeo de la Protección de Datos.
El menor, además, es reincidente, según se desprende de la investigación desarrollada por la Brigada de Investigación Tecnológica (BIT). El cracker había logrado en el pasado obtener algún beneficio a cambio de no revelar la información sustraída en sus intrusiones en los sistemas informáticos de varias multinacionales y bancos.
La investigación se inició a raíz de la denuncia presentada por la empresa extorsionada en la que manifestaron haber sido víctimas de la sustracción de una base de datos de clientes tras un acceso fraudulento a sus servidores.
Fuente: El País
Fech: 28/01/2011
El menor, además, es reincidente, según se desprende de la investigación desarrollada por la Brigada de Investigación Tecnológica (BIT). El cracker había logrado en el pasado obtener algún beneficio a cambio de no revelar la información sustraída en sus intrusiones en los sistemas informáticos de varias multinacionales y bancos.
La investigación se inició a raíz de la denuncia presentada por la empresa extorsionada en la que manifestaron haber sido víctimas de la sustracción de una base de datos de clientes tras un acceso fraudulento a sus servidores.
Fuente: El País
Fech: 28/01/2011
La mayoría de españoles revela información personal en llamadas de desconocidos
El 57 por ciento de los españoles revela información personal en llamadas de desconocidos, según el estudio 'Percepciones del consumidor español frente al robo de identidad', realizado por el Grupo CPP con motivo de la celebración de mañana del Día Europeo de Protección de Datos que se celebra este viernes.
Concretamente, el informe, realizado a una muestra de población de 1.092 españoles, señala que el 45 por ciento facilita nombre y apellidos; el 26 por ciento, su dirección; el 23 por ciento, la fecha de nacimiento; y el 22 por ciento, hasta su número de DNI. Además, respecto al uso de datos personales en Internet, el 44 por ciento afirma que se ha registrado en alguna web siendo consciente de que era "poco segura".
Igualmente, el 32 por ciento ha reconocido también abrir archivos de páginas que no ofrecen condiciones de confidencialidad y el 75 por ciento ha rellenado encuestas online con sus datos sin conocer realmente el uso que se va a hacer de ellos. Así, CPP subraya la "necesidad" de ser más precavidos con el uso de los datos personales para evitar posibles fraudes bancarios y robos de identidad y advierte de que los españoles son "muy poco precavidos" con el uso de sus datos personales.
En ese sentido, el estudio revela que algunas personas han reconocido, incluso, haber facilitado sus datos bancarios (7%), nombres de familiares (4%), detalles de las tarjetas de crédito (3%) y hasta el número PIN de alguna de sus tarjetas (1%), poniendo en riesgo su propia seguridad y aumentando el riesgo de sufrir fraude bancario o robo de identidad.
Por otro lado, muestra que el DNI es uno de los documentos con información personal que más facilitan los españoles a los desconocidos. Además, llama la atención que la franja de edad situada entre los 35 y los 44 años facilite su DNI en el mismo porcentaje que los más jóvenes (23%) y que prácticamente les igualen respecto a la información bancaria que facilitan a desconocidos (6%).
Según CPP, los jóvenes de entre 16 y 24 años son los "menos" precavidos con la difusión de su nombre y los apellidos; el 52 por ciento de éstos ha revelado su nombre y apellidos por teléfono a desconocidos. Sin embargo, respecto a otros datos personales, como la dirección postal, son los jóvenes de entre 25 y 34 años los que menos precauciones toman.
Fuente: Europa Press
Fecha: 27/01/2011
Concretamente, el informe, realizado a una muestra de población de 1.092 españoles, señala que el 45 por ciento facilita nombre y apellidos; el 26 por ciento, su dirección; el 23 por ciento, la fecha de nacimiento; y el 22 por ciento, hasta su número de DNI. Además, respecto al uso de datos personales en Internet, el 44 por ciento afirma que se ha registrado en alguna web siendo consciente de que era "poco segura".
Igualmente, el 32 por ciento ha reconocido también abrir archivos de páginas que no ofrecen condiciones de confidencialidad y el 75 por ciento ha rellenado encuestas online con sus datos sin conocer realmente el uso que se va a hacer de ellos. Así, CPP subraya la "necesidad" de ser más precavidos con el uso de los datos personales para evitar posibles fraudes bancarios y robos de identidad y advierte de que los españoles son "muy poco precavidos" con el uso de sus datos personales.
En ese sentido, el estudio revela que algunas personas han reconocido, incluso, haber facilitado sus datos bancarios (7%), nombres de familiares (4%), detalles de las tarjetas de crédito (3%) y hasta el número PIN de alguna de sus tarjetas (1%), poniendo en riesgo su propia seguridad y aumentando el riesgo de sufrir fraude bancario o robo de identidad.
Por otro lado, muestra que el DNI es uno de los documentos con información personal que más facilitan los españoles a los desconocidos. Además, llama la atención que la franja de edad situada entre los 35 y los 44 años facilite su DNI en el mismo porcentaje que los más jóvenes (23%) y que prácticamente les igualen respecto a la información bancaria que facilitan a desconocidos (6%).
Según CPP, los jóvenes de entre 16 y 24 años son los "menos" precavidos con la difusión de su nombre y los apellidos; el 52 por ciento de éstos ha revelado su nombre y apellidos por teléfono a desconocidos. Sin embargo, respecto a otros datos personales, como la dirección postal, son los jóvenes de entre 25 y 34 años los que menos precauciones toman.
Fuente: Europa Press
Fecha: 27/01/2011
La Agencia de Protección de Datos recibió más de 4.300 reclamaciones en 2010
La Agencia Española de Protección de Datos (AEPD) recibió en 2010 más de 4.300 reclamaciones por supuestas vulneraciones de la legislación en esta materia, según ha señalado este organismo con motivo de la celebración este viernes del Día de la Protección de Datos la agencia.
Para la AEPD, los españoles cada vez están más concienciados acerca del valor de su información personal. De hecho, de acuerdo al Barómetro del CIS de septiembre de 2009, el 73,9 por ciento de los ciudadanos se muestra preocupado por la protección de su privacidad, y el 52,6 por ciento conoce la existencia de la AEPD.
El Día de la Protección de Datos es una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los Estados miembros de la Unión Europea, con el objetivo de impulsar entre los ciudadanos el conocimiento de sus derechos y responsabilidades sobre protección de datos.
Con motivo de esta celebración, la AEPD publicará mañana una guía con información y consejos prácticos sobre el derecho Fundamental a la Protección de Datos para los ciudadanos, que explica de forma simplificada cómo actuar cuando se solicitan sus datos personales y a defender sus derechos, pero también a aprender a usar de forma responsable los datos de otras personas.
Asimismo, la Agencia hará entrega de los Premios Protección de Datos 2010, que reconocen aquellos trabajos de expertos y medios de comunicación que en mayor medida han contribuido a promover el conocimiento y la investigación del derecho a la protección de datos.
El evento conmemora la firma del Convenio 108 del Consejo de Europa, que este año celebra su 30 aniversario. Este convenio se suscribió el 28 de enero de 1981 para garantizar a cualquier persona física el derecho a la vida privada respecto al tratamiento automatizado de los datos de carácter personal en el territorio de cada Estado miembro.
En este contexto, el Consejo de Europa y la Comisión Europea celebrarán mañana en Bruselas, una Jornada de alto nivel bajo el titulo 'Data protection 30 years later: from European to international standards', en el que ambas instituciones unirán sus fuerzas para promocionar el derecho fundamental a la protección de datos. Este encuentro marcará, además, el inicio de una consulta pública abierta a ciudadanos, Estados, empresas, e instituciones, en el contexto del proceso de modernización del Convenio 108. http://www.data-protection-day.net/home.jsp
Fuente: Europa PRess
Fecha: 27/01/2011
Para la AEPD, los españoles cada vez están más concienciados acerca del valor de su información personal. De hecho, de acuerdo al Barómetro del CIS de septiembre de 2009, el 73,9 por ciento de los ciudadanos se muestra preocupado por la protección de su privacidad, y el 52,6 por ciento conoce la existencia de la AEPD.
El Día de la Protección de Datos es una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los Estados miembros de la Unión Europea, con el objetivo de impulsar entre los ciudadanos el conocimiento de sus derechos y responsabilidades sobre protección de datos.
Con motivo de esta celebración, la AEPD publicará mañana una guía con información y consejos prácticos sobre el derecho Fundamental a la Protección de Datos para los ciudadanos, que explica de forma simplificada cómo actuar cuando se solicitan sus datos personales y a defender sus derechos, pero también a aprender a usar de forma responsable los datos de otras personas.
Asimismo, la Agencia hará entrega de los Premios Protección de Datos 2010, que reconocen aquellos trabajos de expertos y medios de comunicación que en mayor medida han contribuido a promover el conocimiento y la investigación del derecho a la protección de datos.
El evento conmemora la firma del Convenio 108 del Consejo de Europa, que este año celebra su 30 aniversario. Este convenio se suscribió el 28 de enero de 1981 para garantizar a cualquier persona física el derecho a la vida privada respecto al tratamiento automatizado de los datos de carácter personal en el territorio de cada Estado miembro.
En este contexto, el Consejo de Europa y la Comisión Europea celebrarán mañana en Bruselas, una Jornada de alto nivel bajo el titulo 'Data protection 30 years later: from European to international standards', en el que ambas instituciones unirán sus fuerzas para promocionar el derecho fundamental a la protección de datos. Este encuentro marcará, además, el inicio de una consulta pública abierta a ciudadanos, Estados, empresas, e instituciones, en el contexto del proceso de modernización del Convenio 108. http://www.data-protection-day.net/home.jsp
Fuente: Europa PRess
Fecha: 27/01/2011
La Ley de Economía Sostenible podría reformar la Ley de Protección de Datos
La más que inminente Ley de Economía Sostenible incluye, entre sus múltiples enmiendas, una interesante modificación de la LOPD; así, se propone entre otras cosas, la posibilidad de que las infracciones leves y graves queden impunes, o una reforma del elenco de infracciones, despenalizando determinadas conductas o añadiendo nuevos tipos.
El proyecto de Ley de Economía Sostenibles ha cobrado estos meses una relevancia importante por las cláusulas relativas a la defensa de los derechos de propiedad intelectual (“Ley Sinde” se conoce este proyecto en Internet, en alusión a la actual Ministra de Cultura). No obstante, el Grupo Parlamentario Catalán en el Senado de Convergència i Unió (GPCIU) ha presentado una enmienda de adición (esto es, que se añada una nueva disposición final en este caso), con la intención de reformar diversos artículos de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.
En concreto se quieren reformar los artículos 43, 44, 45, 46, y 49.
¿Qué podría cambiar en las próximas semanas?
Examinemos las reformas más importantes:
1º: El artículo 44. Contiene todo el elenco de infracciones; este artículo es muy importante porque nos dice qué conductas son constitutivas de infracción y su grado (leve, grave o muy grave).
En relación a las infracciones leves, lo más relevante es que desaparecen dos infracciones: en primer lugar, dejará de considerarse infracción “No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda“.
Y en segundo lugar, desaparece la posibilidad de incumplir el deber de secreto como infracción leve. En la actualidad, y dependiendo de la naturaleza de los datos divulgados sujetos a este deber de secreto, la infracción puede ser leve (en todos los casos), grave (en determinados supuestos) y hasta muy grave en unos pocos supuestos. Ahora desaparece la infracción leve, de forma que, como veremos a continuación, toda infracción del deber de secreto pasará a ser grave, así que tampoco será posible vulnerar el deber de secreto de forma muy grave.
Se añade una nueva infracción leve: “La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.“. Esto supone una cristalización de la doctrina que ha venido manteniendo la Agencia Española de Protección de Datos (AEPD). Esta infracción supone penalizar la conducta consistente en facilitar datos de carácter personal a un encargado del tratamiento por parte del responsable del fichero sin que medie el contrato y forma que exige el artículo 12 de la LOPD.
¿Qué sucede ahora en esta situación? Ahora sucede que, si no existe el contrato mencionado, se entiende que lo que se ha producido es una cesión de datos de carácter personal, y como no va a existir el consentimiento para la cesión, al cedente (responsable del fichero) se le imputa una infracción muy grave, pero además, al cesionario una infracción grave por tratar los datos personales cedidos sin consentimiento (claro, si el que tiene el deber de obtener el consentimiento no lo hace, cuando los ceda llegarán ya intoxicados). Esta solución que la ha aplicado la AEPD en diversas ocasiones es una auténtica aberración se mire por donde se mire: la AEPD estaba creando un nuevo tipo infractor: facilitar los datos sin que medie contrato (vulneración del principio de legalidad y tipicidad más elemental).
Ahora se castiga expresamente no firmar ese contrato del artículo 12.
Respecto a las infracciones graves, lo más relevante es el hecho de considerar que las cesiones de datos serán castigadas como infracción grave y no como muy grave, dejando la calificación de “muy grave” para casos muy concretos. En la actualidad, toda cesión de datos sin consentimiento es una infracción muy grave.
Se añade una nueva infracción grave: “El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo” donde podrán encajar diversas conductas desobedientes.
En relación a las infracciones muy graves se simplifican y reducen significativamente: en la actualidad hay 9 conductas castigadas como infracción muy grave, con la reforma pasarían a 4.
Desaparece la cesión de datos en general, constituyendo infracción muy grave únicamente cuando los datos objeto de cesión se refieran a los indicados en los apartados 2, 3 y 5 del artículo 7.
Desaparece la posibilidad de vulnerar en el deber de secreto de forma muy grave cuando los datos hacian referencia a los mismos supuestos que el caso anterior.
Desaparece la infracción consistente en no atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero y obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición (conductas que podrán ser constitutivas de infracción grave pues encajarían en el nuevo tipo infractor de esta categoría).
La siguiente modificación es en relación a las cuantías de las sanciones; tranquilos, lo único que se hace es convertir las cifras en pesetas para poner su equivalencia en euros. Eso sí, han reducido ligeramente la cuantía mínima de la infracción leve, pues si hasta ahora era una multa de 100.000 pesetas, ahora lo es de 600 euros, cuando la conversión exacta debería ser de 601 euros (cuantía que viene aplicando la AEPD en sus sanciones, y no 600 euros). Y lo mismo para las cifras de 30.000, 60.000 y 600.000 euros.
Le toca el turno a los criterios para graduar las sanciones. Se han reformado y añadidos nuevos criterios para graduar las sanciones. Así, ahora se tendrá en cuenta:
* a) El carácter continuado de la infracción
* b) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
* c) El volumen de negocio o actividad del infractor. Es de elogiar este intento de ajustar las sanciones a la realidad económica del infractor. No obstante esto queda lejos de lo que la doctrina viene reclamando: un auténtico sistema de graduación de las sanciones al estilo de los días-multa. Lo cierto es que al gran infractor, a ese que mueve millones de euros anuales, le dará un poco igual que la sanción sea de 60.000 euros que de 300.000 euros.
* d) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. Otra interesante novedad sin duda.
Se añade ahora un auténtico elenco de atenuantes, eliminando así la actual mención del artículo 45.5.
Las atenuantes procederán:
* a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
* b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
* c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
* d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
* e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
Tengo dudas en relación a la d) ¿espontáneamente? ¿qué significa eso? ¿que el propio infractor se denuncie? ¿que desde el primer momento reconozca su culpabilidad?
Pero sin lugar a dudas, de todas las reformas propuestas, la más relevante es la relativa a la adición de un nuevo apartado 6 en el artículo 45. Se pretende añadir este precepto:
“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento”.
Los que se dediquen al mundo del derecho ya sabrán lo que significa la palabra “excepcionalmente” en una ley… lo mismo que “provisionalmente”.
Este nuevo 45.6 deja en manos de la propia AEPD castigar las infracciones leves y graves, dejando como único límite que el infractor no hubiese sido sancionado o apercibido con anterioridad, aunque no dice el precepto si esa sanción o apercibimiento anterior debe ser de la misma naturaleza que la infracción de la que se pretenda no iniciar procedimiento sancionador.
Mucho me temo que, de terminar aprobándose este precepto, empezaremos a ver supuestos idénticos pero que en unos casos terminarán en una sanción y en otros en un apercibimiento, pues en mi opinión se debería haber detallado más en qué circunstancias procede obviar la potestad sancionadora de la administración y dejar sin sanción una conducta típica, antijurídica y punible.
No obstante, esto también puede beneficiar a las entidades que se encuentren ahora mismo o en las próximas semanas con una denuncia, pues se debería aplicar este criterio de forma retroactiva.
Por último, la facultad prevista en el artículo 49 relativa a la posibilidad de inmovilizar ficheros, se extiende a los casos de infracciones graves. Recordemos que en la actualidad sólo es de aplicación para infracciones muy graves.
Todos estos preceptos, a pesar de que estén en una Ley Orgánica, tienen caracter de ley ordinaria.
Fuente: www.samuelparra.com
Fecha: 30/01/2011
El proyecto de Ley de Economía Sostenibles ha cobrado estos meses una relevancia importante por las cláusulas relativas a la defensa de los derechos de propiedad intelectual (“Ley Sinde” se conoce este proyecto en Internet, en alusión a la actual Ministra de Cultura). No obstante, el Grupo Parlamentario Catalán en el Senado de Convergència i Unió (GPCIU) ha presentado una enmienda de adición (esto es, que se añada una nueva disposición final en este caso), con la intención de reformar diversos artículos de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.
En concreto se quieren reformar los artículos 43, 44, 45, 46, y 49.
¿Qué podría cambiar en las próximas semanas?
Examinemos las reformas más importantes:
1º: El artículo 44. Contiene todo el elenco de infracciones; este artículo es muy importante porque nos dice qué conductas son constitutivas de infracción y su grado (leve, grave o muy grave).
En relación a las infracciones leves, lo más relevante es que desaparecen dos infracciones: en primer lugar, dejará de considerarse infracción “No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda“.
Y en segundo lugar, desaparece la posibilidad de incumplir el deber de secreto como infracción leve. En la actualidad, y dependiendo de la naturaleza de los datos divulgados sujetos a este deber de secreto, la infracción puede ser leve (en todos los casos), grave (en determinados supuestos) y hasta muy grave en unos pocos supuestos. Ahora desaparece la infracción leve, de forma que, como veremos a continuación, toda infracción del deber de secreto pasará a ser grave, así que tampoco será posible vulnerar el deber de secreto de forma muy grave.
Se añade una nueva infracción leve: “La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.“. Esto supone una cristalización de la doctrina que ha venido manteniendo la Agencia Española de Protección de Datos (AEPD). Esta infracción supone penalizar la conducta consistente en facilitar datos de carácter personal a un encargado del tratamiento por parte del responsable del fichero sin que medie el contrato y forma que exige el artículo 12 de la LOPD.
¿Qué sucede ahora en esta situación? Ahora sucede que, si no existe el contrato mencionado, se entiende que lo que se ha producido es una cesión de datos de carácter personal, y como no va a existir el consentimiento para la cesión, al cedente (responsable del fichero) se le imputa una infracción muy grave, pero además, al cesionario una infracción grave por tratar los datos personales cedidos sin consentimiento (claro, si el que tiene el deber de obtener el consentimiento no lo hace, cuando los ceda llegarán ya intoxicados). Esta solución que la ha aplicado la AEPD en diversas ocasiones es una auténtica aberración se mire por donde se mire: la AEPD estaba creando un nuevo tipo infractor: facilitar los datos sin que medie contrato (vulneración del principio de legalidad y tipicidad más elemental).
Ahora se castiga expresamente no firmar ese contrato del artículo 12.
Respecto a las infracciones graves, lo más relevante es el hecho de considerar que las cesiones de datos serán castigadas como infracción grave y no como muy grave, dejando la calificación de “muy grave” para casos muy concretos. En la actualidad, toda cesión de datos sin consentimiento es una infracción muy grave.
Se añade una nueva infracción grave: “El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo” donde podrán encajar diversas conductas desobedientes.
En relación a las infracciones muy graves se simplifican y reducen significativamente: en la actualidad hay 9 conductas castigadas como infracción muy grave, con la reforma pasarían a 4.
Desaparece la cesión de datos en general, constituyendo infracción muy grave únicamente cuando los datos objeto de cesión se refieran a los indicados en los apartados 2, 3 y 5 del artículo 7.
Desaparece la posibilidad de vulnerar en el deber de secreto de forma muy grave cuando los datos hacian referencia a los mismos supuestos que el caso anterior.
Desaparece la infracción consistente en no atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero y obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición (conductas que podrán ser constitutivas de infracción grave pues encajarían en el nuevo tipo infractor de esta categoría).
La siguiente modificación es en relación a las cuantías de las sanciones; tranquilos, lo único que se hace es convertir las cifras en pesetas para poner su equivalencia en euros. Eso sí, han reducido ligeramente la cuantía mínima de la infracción leve, pues si hasta ahora era una multa de 100.000 pesetas, ahora lo es de 600 euros, cuando la conversión exacta debería ser de 601 euros (cuantía que viene aplicando la AEPD en sus sanciones, y no 600 euros). Y lo mismo para las cifras de 30.000, 60.000 y 600.000 euros.
Le toca el turno a los criterios para graduar las sanciones. Se han reformado y añadidos nuevos criterios para graduar las sanciones. Así, ahora se tendrá en cuenta:
* a) El carácter continuado de la infracción
* b) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
* c) El volumen de negocio o actividad del infractor. Es de elogiar este intento de ajustar las sanciones a la realidad económica del infractor. No obstante esto queda lejos de lo que la doctrina viene reclamando: un auténtico sistema de graduación de las sanciones al estilo de los días-multa. Lo cierto es que al gran infractor, a ese que mueve millones de euros anuales, le dará un poco igual que la sanción sea de 60.000 euros que de 300.000 euros.
* d) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. Otra interesante novedad sin duda.
Se añade ahora un auténtico elenco de atenuantes, eliminando así la actual mención del artículo 45.5.
Las atenuantes procederán:
* a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
* b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
* c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
* d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
* e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
Tengo dudas en relación a la d) ¿espontáneamente? ¿qué significa eso? ¿que el propio infractor se denuncie? ¿que desde el primer momento reconozca su culpabilidad?
Pero sin lugar a dudas, de todas las reformas propuestas, la más relevante es la relativa a la adición de un nuevo apartado 6 en el artículo 45. Se pretende añadir este precepto:
“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento”.
Los que se dediquen al mundo del derecho ya sabrán lo que significa la palabra “excepcionalmente” en una ley… lo mismo que “provisionalmente”.
Este nuevo 45.6 deja en manos de la propia AEPD castigar las infracciones leves y graves, dejando como único límite que el infractor no hubiese sido sancionado o apercibido con anterioridad, aunque no dice el precepto si esa sanción o apercibimiento anterior debe ser de la misma naturaleza que la infracción de la que se pretenda no iniciar procedimiento sancionador.
Mucho me temo que, de terminar aprobándose este precepto, empezaremos a ver supuestos idénticos pero que en unos casos terminarán en una sanción y en otros en un apercibimiento, pues en mi opinión se debería haber detallado más en qué circunstancias procede obviar la potestad sancionadora de la administración y dejar sin sanción una conducta típica, antijurídica y punible.
No obstante, esto también puede beneficiar a las entidades que se encuentren ahora mismo o en las próximas semanas con una denuncia, pues se debería aplicar este criterio de forma retroactiva.
Por último, la facultad prevista en el artículo 49 relativa a la posibilidad de inmovilizar ficheros, se extiende a los casos de infracciones graves. Recordemos que en la actualidad sólo es de aplicación para infracciones muy graves.
Todos estos preceptos, a pesar de que estén en una Ley Orgánica, tienen caracter de ley ordinaria.
Fuente: www.samuelparra.com
Fecha: 30/01/2011
NO ENVIAR CON COPIA OCULTA LOS e-MAILS ACARREA MULTAS
A continuación adjuntamos copia de la RESOLUCIÓN del procedimiento sancionador instruido por la Agencia de Protección de Datos contra BANKINTER por envío de direcciones visibles en e-mails enviados a clientes, de los que uno en concreto presentó demanda.
Procedimiento Nº PS/00553/2009
RESOLUCIÓN: R/00795/2010
En el procedimiento sancionador PS/00553/2009, instruido por la Agencia Española de
Protección de Datos a la entidad BANKINTER S.A., vista la denuncia presentada por A.A.A., y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha de 3/12/2008, tuvo entrada en esta Agencia una denuncia de A.A.A. en la que manifiesta que el 4/11/2008, recibió un correo electrónico en su dirección particular de e-mail proporcionada al banco Bankinter, entidad de la que es cliente, y que por error de envío todas las
direcciones de e-mail son visibles, entre ellas, la suya. Inmediatamente enviaron un mail de disculpas. Añade que ha empezado a recibir correos no deseados como consecuencia de dicha publicidad de datos.
Adjunta copia del correo objeto de denuncia y del correo de disculpas, reconociendo el error. De la impresión de las direcciones de correo, existen tres páginas a una cara, conteniendo listas de correos de direcciones electrónicas. En la segunda se aprecia “A.A.A.”. La denunciante en documentación complementaria remitida el 13/05/2009, señala que su dirección es “<...@1...>”. Y aporta las cabeceras del mensaje recibido. Como dirección de remisión figura “<...@bankinter.es>”.
SEGUNDO: El Director de la Agencia Española de Protección de Datos, tras la recepción de la denuncia, ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, y se tuvo
conocimiento de los siguientes extremos:
1.
Con fecha de entrada 2/9/2009, se recibe escrito de Bankinter en respuesta al requerimiento de la Inspección de datos realizado en relación con los hechos denunciados, en el que se pone de manifiesto lo siguiente:
1.1.
Doña A.A.A. y BANKINTER mantienen una relación contractual que se prolonga desde hace
varios años. Adjunta copia de las Condiciones Generales de la e-cuenta corriente de la denunciante, contratada el día 8/06/2005, declarándose conforme con la cláusula de
protección de datos, mediante la que da su consentimiento para el tratamiento de sus datos de carácter personal. Hasta la fecha, la sra. A.A.A. no se ha dirigido a esta entidad con el fin de revocar el consentimiento otorgado para realizar el tratamiento de sus datos personales así como para el envío de comunicaciones comerciales.
1.2.
Adjunta copia impresa de los datos personales que figuran en los ficheros relativos a Doña A.A.A., incluyendo su dirección de correo electrónico.
1.3.
La dirección de correo electrónico “<...@bankinter.es>” pertenece a un empleado de
BANKINTER, entre cuyas funciones comerciales figura el ofrecimiento, mediante canales a distancia, de productos y servicios bancarios a clientes de BANKINTER, siempre y cuando éstos no hayan revocado su consentimiento al tratamiento de sus datos personales o al envío de comunicaciones comerciales.
1.4.
El representante de BANKINTER desea poner de manifiesto que la remisión a múltiples
destinatarios del e-mail comercial objeto de la presente reclamación, sin la utilización de la opción "copia oculta", no siguió, el procedimiento interno que esta Entidad tiene establecido al efecto, por circunstancias excepcionales y que escapan a su control, lamentando las consecuencias que ello haya podido acarrear y que lo acaecido no es más que un acto aislado que no responde a las líneas de actuación que BANKINTER tiene establecidas, sino al error humano de uno de sus empleados. En este sentido, adjunta una copia del Código de Ética Profesional de BANKINTER, de obligado cumplimiento por todos sus empleados,
en cuyo apartado 3.4 se establece el deber de diligencia con el que debe realizarse el tratamiento informático y comercial de los datos de los clientes.
TERCERO: Con fecha 20/10/2009, el Director de la Agencia Española de Protección de Datos acordó iniciar, procedimiento sancionador a BANKINTER S.A., por presunta infracción del artículo 10 de la Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el artículo 44.2.e) de dicha norma.
CUARTO: Notificado el acuerdo de inicio, BANKINTER S.A. mediante escrito de fecha 13/11/2009 formuló alegaciones, reiterando lo ya manifestado, añadiendo que fue un hecho aislado, error humano causado por falta de diligencia de un empleado. El Departamento de Informática dio instrucciones sobre el uso del correo electrónico, haciendo referencia entre otros aspectos a la copia oculta cuando sean varios los destinatarios de un correo, y habiendo ella establecido las reglas a seguir, pide sea declarada exente de responsabilidad por falta de culpabilidad.
QUINTO: Con fecha 26/11/2009, se inició el período de práctica de pruebas, incorporando la dimanante de actuaciones previas y las formuladas frente al acuerdo de inicio.
SEXTO: Con fecha 24/02/2010, se formuló propuesta de resolución, proponiendo al Director de la Agencia Española de Protección de Datos, la imposición de una sanción de 3.000 € a BANKINTER S.A., por la infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma.
SÉPTIMO: Con fecha de entrada en la Agencia 25/03/2010, BANKINTER S.A. realizó alegaciones frente a la citada propuesta de resolución en la que señala que debe concurrir el elemento de culpabilidad. La entidad ha adoptado procedimientos y cautelas que están a su alcance, suponiendo la comisión de la infracción un hecho que depende del factor humano que escapa por completo del control de la entidad. Pide subsidiariamente que se sancione aplicando el artículo 45.4 de la LOPD en la cuantía mínima, pues obedeció a un error humano involuntario y no intencionado, y que no ha producido daño alguno.
HECHOS PROBADOS
1)
La denunciante recibió el 4/11/2008 en su correo electrónico “<...@1...>” (folios 2 a 5 y 10 a 17) una información de Bankinter SA (dirección <...@bankinter.es>) conteniendo direcciones de correos electrónicos sin copia oculta, recibiendo todos los destinatarios todas las direcciones, entre ellas la de la denunciante. El correo refiere una información general sobre el “Plan retorno” referido a planes de pensiones.
2)
La dirección de correo electrónico proporcionada por la denunciante a Bankinter es tratada conforme al contrato que las partes suscribieron, figurando en el apartado 7 la cláusula de protección de datos y la autorización para la comunicación e información por medios electrónicos (folios 35 a 40 y 42 a 44). No obstante Bankinter no respetó el deber de guardar los datos de la denunciante al ponerlos de manifiesto a todos los remitentes de los correos.
3)
BANKINTER señala que existe un “Código de Ética Profesional” de obligado cumplimiento
por todos sus empleados, que establece el deber de diligencia con el que debe realizarse el tratamiento informático y comercial de los datos de los clientes, así como instrucciones dadas desde el Departamento de Informática en concreto con la copia oculta del correo. Aporta copia del documento “Auditoría, Comunicación, seguridad, Tecnología Uso correcto del correo electrónico” informando que no se use para transmisión de información confidencial y en el documento “Seguridad Informática” detalla el uso de la copia oculta (folios 46 y 48, 55, 58, 59, 67).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia Española de
Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.
II
En el presente procedimiento se imputa al BANKINTER la infracción del deber de secreto contenido en el artículo 10 de la LOPD. Dicho artículo establece lo siguiente:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”
Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar
que por parte de quienes están en contacto con los datos personales almacenados en ficheros se realicen filtraciones de los datos no consentidas por los titulares de los mismos.
En este sentido, la Sentencia de la Audiencia Nacional de fecha 18/01/02, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo, “El deber de secreto profesional que incumbe a los responsables de ficheros automatizados, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable –en este caso, la entidad bancaria recurrente-de los datos almacenados –en este caso, los asociados a la denunciante-no puede revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo” (artículo 10 citado). Este deber es una exigencia elemental y anterior al propio
reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente, como el teléfono de contacto, no pueden ser conocidos por ninguna persona o entidad, pues en eso consiste precisamente el secreto.”
“Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí
mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino” (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, “es decir, el poder de resguardar su vida privada de una publicidad no querida” (el subrayado es de la Agencia Española de Protección de Datos).
El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. El deber de secreto que incumbe a los responsables de los ficheros, recogido en el artículo 10 de la LOPD, comporta que el responsable o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no puedan revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y, por lo que ahora interesa, comporta que los datos tratados automatizadamente o no, no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.
III
En el presente caso, ha quedado acreditado que en los correos electrónicos remitidos por BANKINTER, objeto de la presente denuncia, eran visibles para los receptores (la denunciante), y los destinatarios. Dicho comportamiento por parte del BANKINTER supone una infracción del citado artículo 10 de la LOPD por parte de dicha entidad.
No pueden ser tenidas en cuenta las alegaciones del BANKINTER en el sentido de atribuir el hecho infractor a una persona de su organización, por cuanto esta cuestión en nada altera el resultado objetivo de su conducta que configura el ilícito imputado, cual es la revelación de las direcciones de correo electrónico que, obrantes en los ficheros de BANKINTER, son comunicadas a terceros sin habilitación. En este sentido queda claro que toda y cualquier organización actúa a través de sus empleados, y que en este caso se ha operado sobre los datos contenidos en ficheros
responsabilidad de BANKINTER.
Por otro lado, la alegación de que no existe culpabilidad, se debe manifestar que este tipo de infracciones que ponen datos al descubierto se consuman como suele ser la regla general en las infracciones administrativas, por concurrencia de culpa leve. El artículo 130.1 de la Ley 30/1992, dispone que solo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a titulo de “simple inobservancia”, Esta simple inobservancia no puede ser entendida como la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, pues la jurisprudencia mayoritaria de nuestro Tribunal Supremo y la
doctrina del Tribunal Constitucional destacan que el principio de culpabilidad, aún sin reconocimiento explícito en la Constitución, se infiere de los principios de legalidad y prohibición de exceso o de las exigencias inherentes a un estado de Derecho, y requieren la existencia de dolo o culpa. La conducta que configura el ilícito administrativo aplicado en este caso, artículo 44.2.e) requiere la existencia de culpa, que se concreta por lo que ahora interesa en la falta de diligencia
observada al remitir correos electrónicos sin la copia oculta, no pudiéndose decir que han sido a veinte o treinta personas a las que se remitió, sino dos páginas y media completas de direcciones de las que se han podido conocer las direcciones de los clientes
IV
El artículo 44.2.e) califica como infracción leve:
“Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave.”
En el presente caso, de acuerdo con lo señalado, la vulneración del deber de secreto
recogido en el artículo 10 de la LOPD por parte del BANKINTER, encuentra su tipificación en el citado artículo 44.2.e) de la LOPD, ya que el dato revelado es la dirección de correo electrónico sin que quepa incluirlo en el tipo agravado del artículo 44.3.g) de la LOPD.
V
El artículo 45.1 y 4 de la LOPD dispone:
“1 Las infracciones leves serán sancionadas con multa de 601,01 euros a 60.101,21 euros”.
...
“4. La cuantía de las sanciones de graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.”
En el presente supuesto, se demanda la sanción mínima al no haber intervenido la entidad sino una persona que comete el error, calificado como involuntario, y que no se causaron perjuicios. No obstante se debe indicar que las entidades actúan a través de las personas que en ella se integran, y en el presente caso, pese a la existencia de normas claras al respecto, se confeccionó un listado de direcciones bastante considerable, ocupando dos páginas y media, lo cual aunque no denota intencionalidad en sí, si da lugar a que esto no pueda se considerado como merecedor de la cuantía mínima. En cuanto al criterio del perjuicio causado, es una presuposición de Bankinter, que queda difuminada por la afirmación de la denunciante de que recibió “correos no deseados”, aunque no aporta ninguno.
A tenor de los criterios de graduación de las sanciones recogidos en el citado artículo 45.4, y, en especial, atendiendo a la falta de intencionalidad, a que existían medidas a seguir por los empleados, y teniendo en cuenta que fueron dos hojas y media de direcciones, se impone una sanción de 2.000 €.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a BANKINTER S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 2.000 €, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.
SEGUNDO: NOTIFICAR la presente resolución a BANKINTER S.A. ya A.A.A..
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la
redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la
notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a
la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Madrid, 6 de abril de 2010
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Procedimiento Nº PS/00553/2009
RESOLUCIÓN: R/00795/2010
En el procedimiento sancionador PS/00553/2009, instruido por la Agencia Española de
Protección de Datos a la entidad BANKINTER S.A., vista la denuncia presentada por A.A.A., y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha de 3/12/2008, tuvo entrada en esta Agencia una denuncia de A.A.A. en la que manifiesta que el 4/11/2008, recibió un correo electrónico en su dirección particular de e-mail proporcionada al banco Bankinter, entidad de la que es cliente, y que por error de envío todas las
direcciones de e-mail son visibles, entre ellas, la suya. Inmediatamente enviaron un mail de disculpas. Añade que ha empezado a recibir correos no deseados como consecuencia de dicha publicidad de datos.
Adjunta copia del correo objeto de denuncia y del correo de disculpas, reconociendo el error. De la impresión de las direcciones de correo, existen tres páginas a una cara, conteniendo listas de correos de direcciones electrónicas. En la segunda se aprecia “A.A.A.”. La denunciante en documentación complementaria remitida el 13/05/2009, señala que su dirección es “<...@1...>”. Y aporta las cabeceras del mensaje recibido. Como dirección de remisión figura “<...@bankinter.es>”.
SEGUNDO: El Director de la Agencia Española de Protección de Datos, tras la recepción de la denuncia, ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, y se tuvo
conocimiento de los siguientes extremos:
1.
Con fecha de entrada 2/9/2009, se recibe escrito de Bankinter en respuesta al requerimiento de la Inspección de datos realizado en relación con los hechos denunciados, en el que se pone de manifiesto lo siguiente:
1.1.
Doña A.A.A. y BANKINTER mantienen una relación contractual que se prolonga desde hace
varios años. Adjunta copia de las Condiciones Generales de la e-cuenta corriente de la denunciante, contratada el día 8/06/2005, declarándose conforme con la cláusula de
protección de datos, mediante la que da su consentimiento para el tratamiento de sus datos de carácter personal. Hasta la fecha, la sra. A.A.A. no se ha dirigido a esta entidad con el fin de revocar el consentimiento otorgado para realizar el tratamiento de sus datos personales así como para el envío de comunicaciones comerciales.
1.2.
Adjunta copia impresa de los datos personales que figuran en los ficheros relativos a Doña A.A.A., incluyendo su dirección de correo electrónico.
1.3.
La dirección de correo electrónico “<...@bankinter.es>” pertenece a un empleado de
BANKINTER, entre cuyas funciones comerciales figura el ofrecimiento, mediante canales a distancia, de productos y servicios bancarios a clientes de BANKINTER, siempre y cuando éstos no hayan revocado su consentimiento al tratamiento de sus datos personales o al envío de comunicaciones comerciales.
1.4.
El representante de BANKINTER desea poner de manifiesto que la remisión a múltiples
destinatarios del e-mail comercial objeto de la presente reclamación, sin la utilización de la opción "copia oculta", no siguió, el procedimiento interno que esta Entidad tiene establecido al efecto, por circunstancias excepcionales y que escapan a su control, lamentando las consecuencias que ello haya podido acarrear y que lo acaecido no es más que un acto aislado que no responde a las líneas de actuación que BANKINTER tiene establecidas, sino al error humano de uno de sus empleados. En este sentido, adjunta una copia del Código de Ética Profesional de BANKINTER, de obligado cumplimiento por todos sus empleados,
en cuyo apartado 3.4 se establece el deber de diligencia con el que debe realizarse el tratamiento informático y comercial de los datos de los clientes.
TERCERO: Con fecha 20/10/2009, el Director de la Agencia Española de Protección de Datos acordó iniciar, procedimiento sancionador a BANKINTER S.A., por presunta infracción del artículo 10 de la Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el artículo 44.2.e) de dicha norma.
CUARTO: Notificado el acuerdo de inicio, BANKINTER S.A. mediante escrito de fecha 13/11/2009 formuló alegaciones, reiterando lo ya manifestado, añadiendo que fue un hecho aislado, error humano causado por falta de diligencia de un empleado. El Departamento de Informática dio instrucciones sobre el uso del correo electrónico, haciendo referencia entre otros aspectos a la copia oculta cuando sean varios los destinatarios de un correo, y habiendo ella establecido las reglas a seguir, pide sea declarada exente de responsabilidad por falta de culpabilidad.
QUINTO: Con fecha 26/11/2009, se inició el período de práctica de pruebas, incorporando la dimanante de actuaciones previas y las formuladas frente al acuerdo de inicio.
SEXTO: Con fecha 24/02/2010, se formuló propuesta de resolución, proponiendo al Director de la Agencia Española de Protección de Datos, la imposición de una sanción de 3.000 € a BANKINTER S.A., por la infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma.
SÉPTIMO: Con fecha de entrada en la Agencia 25/03/2010, BANKINTER S.A. realizó alegaciones frente a la citada propuesta de resolución en la que señala que debe concurrir el elemento de culpabilidad. La entidad ha adoptado procedimientos y cautelas que están a su alcance, suponiendo la comisión de la infracción un hecho que depende del factor humano que escapa por completo del control de la entidad. Pide subsidiariamente que se sancione aplicando el artículo 45.4 de la LOPD en la cuantía mínima, pues obedeció a un error humano involuntario y no intencionado, y que no ha producido daño alguno.
HECHOS PROBADOS
1)
La denunciante recibió el 4/11/2008 en su correo electrónico “<...@1...>” (folios 2 a 5 y 10 a 17) una información de Bankinter SA (dirección <...@bankinter.es>) conteniendo direcciones de correos electrónicos sin copia oculta, recibiendo todos los destinatarios todas las direcciones, entre ellas la de la denunciante. El correo refiere una información general sobre el “Plan retorno” referido a planes de pensiones.
2)
La dirección de correo electrónico proporcionada por la denunciante a Bankinter es tratada conforme al contrato que las partes suscribieron, figurando en el apartado 7 la cláusula de protección de datos y la autorización para la comunicación e información por medios electrónicos (folios 35 a 40 y 42 a 44). No obstante Bankinter no respetó el deber de guardar los datos de la denunciante al ponerlos de manifiesto a todos los remitentes de los correos.
3)
BANKINTER señala que existe un “Código de Ética Profesional” de obligado cumplimiento
por todos sus empleados, que establece el deber de diligencia con el que debe realizarse el tratamiento informático y comercial de los datos de los clientes, así como instrucciones dadas desde el Departamento de Informática en concreto con la copia oculta del correo. Aporta copia del documento “Auditoría, Comunicación, seguridad, Tecnología Uso correcto del correo electrónico” informando que no se use para transmisión de información confidencial y en el documento “Seguridad Informática” detalla el uso de la copia oculta (folios 46 y 48, 55, 58, 59, 67).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento el Director de la Agencia Española de
Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.
II
En el presente procedimiento se imputa al BANKINTER la infracción del deber de secreto contenido en el artículo 10 de la LOPD. Dicho artículo establece lo siguiente:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”
Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar
que por parte de quienes están en contacto con los datos personales almacenados en ficheros se realicen filtraciones de los datos no consentidas por los titulares de los mismos.
En este sentido, la Sentencia de la Audiencia Nacional de fecha 18/01/02, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo, “El deber de secreto profesional que incumbe a los responsables de ficheros automatizados, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable –en este caso, la entidad bancaria recurrente-de los datos almacenados –en este caso, los asociados a la denunciante-no puede revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo” (artículo 10 citado). Este deber es una exigencia elemental y anterior al propio
reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente, como el teléfono de contacto, no pueden ser conocidos por ninguna persona o entidad, pues en eso consiste precisamente el secreto.”
“Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí
mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino” (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, “es decir, el poder de resguardar su vida privada de una publicidad no querida” (el subrayado es de la Agencia Española de Protección de Datos).
El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. El deber de secreto que incumbe a los responsables de los ficheros, recogido en el artículo 10 de la LOPD, comporta que el responsable o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no puedan revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y, por lo que ahora interesa, comporta que los datos tratados automatizadamente o no, no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.
III
En el presente caso, ha quedado acreditado que en los correos electrónicos remitidos por BANKINTER, objeto de la presente denuncia, eran visibles para los receptores (la denunciante), y los destinatarios. Dicho comportamiento por parte del BANKINTER supone una infracción del citado artículo 10 de la LOPD por parte de dicha entidad.
No pueden ser tenidas en cuenta las alegaciones del BANKINTER en el sentido de atribuir el hecho infractor a una persona de su organización, por cuanto esta cuestión en nada altera el resultado objetivo de su conducta que configura el ilícito imputado, cual es la revelación de las direcciones de correo electrónico que, obrantes en los ficheros de BANKINTER, son comunicadas a terceros sin habilitación. En este sentido queda claro que toda y cualquier organización actúa a través de sus empleados, y que en este caso se ha operado sobre los datos contenidos en ficheros
responsabilidad de BANKINTER.
Por otro lado, la alegación de que no existe culpabilidad, se debe manifestar que este tipo de infracciones que ponen datos al descubierto se consuman como suele ser la regla general en las infracciones administrativas, por concurrencia de culpa leve. El artículo 130.1 de la Ley 30/1992, dispone que solo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a titulo de “simple inobservancia”, Esta simple inobservancia no puede ser entendida como la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, pues la jurisprudencia mayoritaria de nuestro Tribunal Supremo y la
doctrina del Tribunal Constitucional destacan que el principio de culpabilidad, aún sin reconocimiento explícito en la Constitución, se infiere de los principios de legalidad y prohibición de exceso o de las exigencias inherentes a un estado de Derecho, y requieren la existencia de dolo o culpa. La conducta que configura el ilícito administrativo aplicado en este caso, artículo 44.2.e) requiere la existencia de culpa, que se concreta por lo que ahora interesa en la falta de diligencia
observada al remitir correos electrónicos sin la copia oculta, no pudiéndose decir que han sido a veinte o treinta personas a las que se remitió, sino dos páginas y media completas de direcciones de las que se han podido conocer las direcciones de los clientes
IV
El artículo 44.2.e) califica como infracción leve:
“Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave.”
En el presente caso, de acuerdo con lo señalado, la vulneración del deber de secreto
recogido en el artículo 10 de la LOPD por parte del BANKINTER, encuentra su tipificación en el citado artículo 44.2.e) de la LOPD, ya que el dato revelado es la dirección de correo electrónico sin que quepa incluirlo en el tipo agravado del artículo 44.3.g) de la LOPD.
V
El artículo 45.1 y 4 de la LOPD dispone:
“1 Las infracciones leves serán sancionadas con multa de 601,01 euros a 60.101,21 euros”.
...
“4. La cuantía de las sanciones de graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.”
En el presente supuesto, se demanda la sanción mínima al no haber intervenido la entidad sino una persona que comete el error, calificado como involuntario, y que no se causaron perjuicios. No obstante se debe indicar que las entidades actúan a través de las personas que en ella se integran, y en el presente caso, pese a la existencia de normas claras al respecto, se confeccionó un listado de direcciones bastante considerable, ocupando dos páginas y media, lo cual aunque no denota intencionalidad en sí, si da lugar a que esto no pueda se considerado como merecedor de la cuantía mínima. En cuanto al criterio del perjuicio causado, es una presuposición de Bankinter, que queda difuminada por la afirmación de la denunciante de que recibió “correos no deseados”, aunque no aporta ninguno.
A tenor de los criterios de graduación de las sanciones recogidos en el citado artículo 45.4, y, en especial, atendiendo a la falta de intencionalidad, a que existían medidas a seguir por los empleados, y teniendo en cuenta que fueron dos hojas y media de direcciones, se impone una sanción de 2.000 €.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a BANKINTER S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 2.000 €, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.
SEGUNDO: NOTIFICAR la presente resolución a BANKINTER S.A. ya A.A.A..
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la
redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la
notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a
la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Madrid, 6 de abril de 2010
EL DIRECTOR DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS
Fdo.: Artemi Rallo Lombarte
Protección de Datos y Gobierno vasco impulsan una campaña para "una buena gestión de la privacidad" en redes sociales
La Agencia Vasca de Protección de Datos y el Departamento de Educación del Gobierno vasco han puesto en marcha la campaña 'Tutorías de Privacidad en Redes Sociales', compuesta por una serie de videos donde se darán consejos orientativos con el objetivo de fomentar "una buena gestión de la privacidad" en las distintas redes sociales.
En una rueda de prensa el director de las Agencia Vasca de Protección de Datos, Iñaki Vicuña, y la viceconsejera de Educación, María Antonia Ocáriz, han anunciado que los videos estarán disponibles en la página 'web' de la Agencia, y estarán dirigidos a usuarios jóvenes y adultos, así como a padres y docentes.
Durante la presentación, que ha coincidido con la celebración del 'Día Europeo de la Protección de Datos', Vicuña ha afirmado que los videos informarán sobre cómo registrarse en redes como Tuenti, Facebook y Twitter, configurando las opciones de privacidad, bloqueando imágenes, invitaciones y perfiles de terceras personas.
"Estamos hablando de nuestra intimidad, de nuestra privacidad, de un bien tan preciado como es nuestro derecho a que nos dejen en paz. un derecho en el que cada uno de nosotros tenemos un importante margen de autonomía en la medida en la que gestionamos nuestros datos con prudencia y sentido común, estamos impidiendo un posterior tratamiento no deseado", ha destacado Vicuña.
Por su parte, Ocáriz ha señalado que "en la vida real la relaciones públicas tienen sus normas de conducta, ni se cuenta todo ni a todos". "Mantenemos una distancia y distinguimos entre amigos íntimos, amigos, conocidos y desconocidos", ha añadido.
En cuanto a la seguridad de las distintas redes sociales, Vicuña ha recordado que sólo Tuenti se rige por una ley orgánica, ya que esta se ubica en el Estado. Sin embargo, Facebook y Twitter son estadounidenses, país en el que no existe una normativa de privacidad.
Fuente: Europa PRess
Fecha: 28/01/2011
En una rueda de prensa el director de las Agencia Vasca de Protección de Datos, Iñaki Vicuña, y la viceconsejera de Educación, María Antonia Ocáriz, han anunciado que los videos estarán disponibles en la página 'web' de la Agencia, y estarán dirigidos a usuarios jóvenes y adultos, así como a padres y docentes.
Durante la presentación, que ha coincidido con la celebración del 'Día Europeo de la Protección de Datos', Vicuña ha afirmado que los videos informarán sobre cómo registrarse en redes como Tuenti, Facebook y Twitter, configurando las opciones de privacidad, bloqueando imágenes, invitaciones y perfiles de terceras personas.
"Estamos hablando de nuestra intimidad, de nuestra privacidad, de un bien tan preciado como es nuestro derecho a que nos dejen en paz. un derecho en el que cada uno de nosotros tenemos un importante margen de autonomía en la medida en la que gestionamos nuestros datos con prudencia y sentido común, estamos impidiendo un posterior tratamiento no deseado", ha destacado Vicuña.
Por su parte, Ocáriz ha señalado que "en la vida real la relaciones públicas tienen sus normas de conducta, ni se cuenta todo ni a todos". "Mantenemos una distancia y distinguimos entre amigos íntimos, amigos, conocidos y desconocidos", ha añadido.
En cuanto a la seguridad de las distintas redes sociales, Vicuña ha recordado que sólo Tuenti se rige por una ley orgánica, ya que esta se ubica en el Estado. Sin embargo, Facebook y Twitter son estadounidenses, país en el que no existe una normativa de privacidad.
Fuente: Europa PRess
Fecha: 28/01/2011
La provincia es la tercera en la región en denuncias por protección de datos
La provincia de Cádiz se sitúa la tercera en cuanto denuncias recibidas por infracciones a la ley de protección de dato (LOPD), según la última memoria anual (de 2009), de la Agencia Española de Protección de Datos, ya que registró un 13% de las 504 de toda la región.
Este informe fue dado a conocer ayer en Cádiz, en un curso sobre la implantación de la ley, organizado por el Colegio de Abogados de Cádiz, la Asociación de Abogados Especialistas en Nuevas Tecnologías de Andalucía y la Asociación Andaluza de Comercio Electrónico.
Por delante de la provincia gaditana en denuncias se sitúan Sevilla (con 26,39% de ellas) y Málaga (19,64%). El resto se reparte entre Granada (13,69%), Almería y Jaén cada una (7,37%), Córdoba (7,14 %), y Huelva (4,56%). A nivel regional, Andalucía tiene el 12,37% de las denuncias nacionales.
Los principales motivos de reclamación estuvieron relacionados con el uso de las redes sociales en internet, con la videovigilancia y con la inclusión indebida de datos en listas de morosos.
Por otro lado, en cuanto a las operaciones de inscripción en el Registro General de Protección de Datos, hasta noviembre del 2010, Cádiz es la cuarta provincia andaluza con más ficheros inscritos, con un total de 30.938 de los 285.945 ficheros de toda Andalucía. Al menos de ellos de contenido jurídico.
Debido esto, a la implantación cada vez mayor de las nuevas tecnologías en los hogares y al aumento de las denuncias en el último año, «es muy importante que los abogados estén al día en protección de datos, tanto para protejer la información de sus clientes, como para poderlos asesorar», aseguró ayer el presidente de la Asociación Andaluza de Comercio Electrónico, Pedro Rodríguez López de Lemus.
Fuente: La Voz Digital
Fecha: 27/01/2011
Este informe fue dado a conocer ayer en Cádiz, en un curso sobre la implantación de la ley, organizado por el Colegio de Abogados de Cádiz, la Asociación de Abogados Especialistas en Nuevas Tecnologías de Andalucía y la Asociación Andaluza de Comercio Electrónico.
Por delante de la provincia gaditana en denuncias se sitúan Sevilla (con 26,39% de ellas) y Málaga (19,64%). El resto se reparte entre Granada (13,69%), Almería y Jaén cada una (7,37%), Córdoba (7,14 %), y Huelva (4,56%). A nivel regional, Andalucía tiene el 12,37% de las denuncias nacionales.
Los principales motivos de reclamación estuvieron relacionados con el uso de las redes sociales en internet, con la videovigilancia y con la inclusión indebida de datos en listas de morosos.
Por otro lado, en cuanto a las operaciones de inscripción en el Registro General de Protección de Datos, hasta noviembre del 2010, Cádiz es la cuarta provincia andaluza con más ficheros inscritos, con un total de 30.938 de los 285.945 ficheros de toda Andalucía. Al menos de ellos de contenido jurídico.
Debido esto, a la implantación cada vez mayor de las nuevas tecnologías en los hogares y al aumento de las denuncias en el último año, «es muy importante que los abogados estén al día en protección de datos, tanto para protejer la información de sus clientes, como para poderlos asesorar», aseguró ayer el presidente de la Asociación Andaluza de Comercio Electrónico, Pedro Rodríguez López de Lemus.
Fuente: La Voz Digital
Fecha: 27/01/2011
La prevención de fuga de datos y la LOPD
Las continuas pérdidas de ingentes cantidades de datos confidenciales por parte de organizaciones, tanto públicas como privadas, ponen en evidencia la ineficacia o insuficiencia de las medidas de seguridad habituales adoptadas para su protección. Y es que el control de las fugas de información es un grave problema de difícil solución, que está generando importantes daños económicos a quienes las sufren.
Dado que los ataques son cada vez más sofisticados y masivos, es necesario contar con las herramientas de protección adecuadas y con una actualización permanente de las defensas frente a éstos. Pero es que la implantación de medidas técnicas y organizativas para garantizar la seguridad de la información es, además de una necesidad para empresas e instituciones, una obligación legal establecida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, conocida como LOPD.
La normativa española es una de las más rigurosas de toda Europa. El incumplimiento de las exigencias prescritas por la LOPD es objeto de un seguimiento activo por parte de la Agencia Española de Protección de Datos que puede imponer sanciones de hasta 600.000 euros en supuestos de infracción muy grave. Por tanto, las empresas españolas tienen más de un motivo importante para situar la prevención de pérdida de datos (DLP, por sus siglas en inglés) en la cúspide de su estrategia global de seguridad.
Las medidas de seguridad impuestas por la vigente normativa de protección de datos pueden llegar a ser considerablemente exigentes para los niveles más altos de protección. En definitiva, la adecuación a la LOPD, o lo que es lo mismo, cumplir con sus exigencias legales, demanda soluciones integrales de protección de la información si se quiere operar con las máximas garantías tanto para conservar íntegros los datos confidenciales corporativos como para gestionarlos de forma correcta y ajustada a la legalidad.
Actualmente, la mayoría de las empresas son conscientes de que deben implementar medidas de seguridad en el acceso y tratamiento de sus datos, si bien la realidad es que lo hacen con desigual eficiencia. En este campo, la Prevención de fuga de datos (DLP) es un componente clave, al que paradójicamente dedican nula o escasa atención las soluciones genéricas de seguridad, por lo que es recomendable implementar soluciones especializadas en DLP.
Una normativa exigente demanda soluciones integrales de protección de datos
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RDLOPD), es la normativa de referencia en materia de seguridad en el tratamiento de datos personales.
Las medidas de seguridad que exige la normativa se clasifican en tres niveles: básico, medio y alto, fundamentalmente según la sensibilidad de los datos tratados, así como del tipo de actividad ejercida por responsable del fichero. A continuación se exponen algunas de las funcionalidades que se deben tener en cuenta para cumplir con las obligaciones legales al valorar las soluciones de prevención de pérdida de datos (DLP) a implantar.
Obligaciones respecto a medidas de seguridad de nivel básico.
Debe mantenerse un registro actualizado de las personas facultadas para conceder autorizaciones o delegar, así como documentos que detallen las funciones, obligaciones y perfiles de los usuarios con acceso a datos de carácter personal. En todo caso, cada usuario tendrá limitado su acceso a los recursos relevantes para sus funciones (artículos 84, 89 y 91 del RDLOPD).
Las soluciones DLP adecuadas garantizan el cumplimiento de los tres artículos mencionados ya que permiten diferenciar niveles de acceso a los datos y designar a las personas responsables de la gestión de seguridad. Estas personas tendrán las facultades para determinar las funciones de todos los usuarios del sistema, pudiendo crear distintos tipos de perfiles con derechos de acceso y tratamiento de datos específicos para cada uno de ellos.
Todos los accesos remotos a los sistemas de información deben cumplir las mismas medidas de seguridad que los accesos en modo local (art. 85 del RDLOP)
Esta obligación demanda una protección inteligente de datos, que controle tanto cualquier acceso externo a la red corporativa como el tráfico saliente y además lo analice con las tecnologías más avanzadas (análisis lingüístico y contextual, huellas dactilares, expresiones regulares, etc., bloqueando (en el caso de violación de las políticas de seguridad) el tráfico saliente.
Todo tratamiento de datos fuera de las instalaciones del responsable del fichero debe estar expresamente autorizado por él, quien responde igualmente de que se realice con las debidas garantías de seguridad (art. 86 del RDLOPD)
Este artículo resulta de aplicación especialmente a los equipos portátiles. Para evitar infracciones, pueden emplearse herramientas para cifrar información contenida en dispositivos portátiles y evitar el acceso no autorizado, por ejemplo, en el caso de robo de un laptop o extravío de una memoria extraíble. Además el uso de laptops fuera de la red corporativa puede controlarse con algún producto de protección de puntos finales. Las políticas de seguridad almacenadas en el ordenador permanecen vigentes hasta fuera del perímetro de la compañía controlando y registrando todas las operaciones del usuario con datos confidenciales.
1.4. Los ficheros temporales y copias de documentos deben cumplir las medidas de seguridad que corresponden a los ficheros de los que son extraídos (art. 87 del RDLOD).
En este punto sería adecuada, por ejemplo, una solución que active el análisis lingüístico que permite proteger, tanto los datos estáticos indexados en el sistema, como los confidenciales y los dinámicos que acaban de aparecer (ficheros temporales, documentos nuevos etc.).
1.5. Debe establecerse un procedimiento de gestión, notificación y registro de las incidencias de seguridad detectadas (art. 90 del RDLOPD).
Las soluciones de DLP acostumbran a ofrecer múltiples herramientas de monitorización y análisis retrospectivo de la actividad de todos los usuarios. Las incidencias de seguridad se registran por el sistema y pueden ser accedidas e investigadas exclusivamente por los responsables de seguridad autorizados. La base de incidencias proporciona la información necesaria para el análisis forense.
1.6. Obligación de adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios con acceso autorizado a los sistemas de información de un modo que garantice su confidencialidad e integridad (art. 93 del RDLOPD).
Cada usuario con acceso autorizado a los sistemas de información protegidos debe contar con su contraseña personal, que garantiza su identificación inequívoca. Por razones de confidencialidad las contraseñas no deberían almacenarse en el sistema, sino hacer que el usuario sea la única persona que conoce su contraseña. El programa de DLP debería garantizar medidas y procedimientos seguros para su recuperación en caso de que el usuario la olvide.
Medidas de seguridad de nivel medio
2.1. Existe la obligación de realizar una auditoría de seguridad, interna o externa cada dos años, que verifique el estado de situación respecto al cumplimiento de las obligaciones establecidas en el RDLOPD y proponga medidas correctoras cuando sea necesario (artículo 96 del RDLOPD).
Trabajando con soluciones de DLP que registren todas las acciones de usuarios y los sucesos relacionados con la seguridad, se podrá agilizar la auditoría elaborando informes con datos, hechos y observaciones en los que podrán basarse los dictámenes alcanzados y las recomendaciones propuestas.
2.2. Obligación de llevar un registro de entrada y salida de soportes con datos personales, incluidos los archivos adjuntos a correos electrónicos (artículo 97 del RDLOPD).
Resultan adecuados los sistemas de protección de datos que permiten controlar todos los canales de transmisión de datos confidenciales: correo electrónico (incluso archivos adjuntos), Internet, dispositivos externos (CD/DVD, varios dispositivos USB, Flashcards, ordenadores portátiles, etc.), registrar operaciones con datos confidenciales y prevenir aquellas que no cumplan con los requerimientos de las políticas de seguridad aprobadas
3. Nivel alto de seguridad.
La distribución de los soportes que contengan datos de carácter personal, se debe realizar cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte y, en todo caso, estarán bajo el control del responsable del fichero.
Para cumplir con esta obligación, el producto de cifrado desarrollado por algunas empresas especializadas en DLP garantiza la protección centralizada de objetos de almacenamiento de datos: archivos, carpetas, discos físicos, incluyendo discos de sistema y discos de arranque, dispositivos extraíbles, usando un fuerte algoritmo de cifrado AES.
Se exige el registro y conservación durante dos años, de cada acceso y manipulación de los datos confidenciales, además de la obligación para el responsable de seguridad de revisar mensualmente estos registros y de elaborar un informe detallando problemas detectados y propuestas de solución (artículo 103 del RDLOPD)
Es probable que la obligación de registro de accesos establecida en este artículo sea una de las más difíciles de llevar a la práctica. No obstante, ciertas soluciones ofrecen herramientas de cifrado que permiten guardar el tipo de información que exige el RDLOPD. Esto es, información sobre accesos a los datos cifrados con identificación del usuario, la fecha y hora en que se realizó el acceso, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado
Medidas de seguridad para los ficheros en soporte papel.
Si bien en la actualidad la gran mayoría de datos en cualquier empresa o institución se producen y gestionan en formato digital, la normativa impone también exigencias de seguridad para los ficheros en soporte papel (Capítulo III del Título VIII del RDLOP). Merece especial atención el hecho de que la generación de copias o la reproducción de los documentos únicamente puede ser realizada bajo el control del personal autorizado.
En el mercado existen soluciones de seguridad que verifican si la impresión de documentos, tanto local como de red, corresponde a las políticas de seguridad haciendo las copias de sombra que se analizan por el servidor central.
¿Cómo conseguir que nuestros datos se traten legalmente y estén a salvo?
Una política acertada de cumplimiento de la ley debería incluir un enfoque apropiado de la protección de datos. Al fin y al cabo, la normativa española pretende impulsar la aplicación de los niveles de seguridad necesarios para impedir el mal uso y la pérdida de los datos, así como para garantizar el respeto de los derechos individuales cuando se trata de datos personales. Pese a sus aspectos sancionadores, el hecho es que ajustarse a la normativa implica una auditoría de la gestión de datos que se está llevando a cabo que beneficia a la empresa o institución.
En este sentido, si al escoger una solución de DLP de un proveedor especializado se tienen en cuenta las funcionalidades necesarias para cumplir con la LOPD y el RDLOPD, descritas en este artículo, nuestros datos estarán igualmente protegidos contra el espionaje industrial y las fugas de información de todo tipo.
Como con cualquier estrategia, planificar es la clave y la prevención contra la pérdida de datos es una tarea dinámica y que precisa revisión constante. Afortunadamente, hoy en día unos pocos fabricantes ya producen programas y servicios diseñados especialmente para dar cumplimiento a las cambiantes exigencias legales y necesidades corporativas. Protegiéndose a sí mismas ahora, las organizaciones inteligentes evitarán problemas potenciales en el futuro.
Autor: Computerworld | Fecha: 28/01/2011
Dado que los ataques son cada vez más sofisticados y masivos, es necesario contar con las herramientas de protección adecuadas y con una actualización permanente de las defensas frente a éstos. Pero es que la implantación de medidas técnicas y organizativas para garantizar la seguridad de la información es, además de una necesidad para empresas e instituciones, una obligación legal establecida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, conocida como LOPD.
La normativa española es una de las más rigurosas de toda Europa. El incumplimiento de las exigencias prescritas por la LOPD es objeto de un seguimiento activo por parte de la Agencia Española de Protección de Datos que puede imponer sanciones de hasta 600.000 euros en supuestos de infracción muy grave. Por tanto, las empresas españolas tienen más de un motivo importante para situar la prevención de pérdida de datos (DLP, por sus siglas en inglés) en la cúspide de su estrategia global de seguridad.
Las medidas de seguridad impuestas por la vigente normativa de protección de datos pueden llegar a ser considerablemente exigentes para los niveles más altos de protección. En definitiva, la adecuación a la LOPD, o lo que es lo mismo, cumplir con sus exigencias legales, demanda soluciones integrales de protección de la información si se quiere operar con las máximas garantías tanto para conservar íntegros los datos confidenciales corporativos como para gestionarlos de forma correcta y ajustada a la legalidad.
Actualmente, la mayoría de las empresas son conscientes de que deben implementar medidas de seguridad en el acceso y tratamiento de sus datos, si bien la realidad es que lo hacen con desigual eficiencia. En este campo, la Prevención de fuga de datos (DLP) es un componente clave, al que paradójicamente dedican nula o escasa atención las soluciones genéricas de seguridad, por lo que es recomendable implementar soluciones especializadas en DLP.
Una normativa exigente demanda soluciones integrales de protección de datos
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RDLOPD), es la normativa de referencia en materia de seguridad en el tratamiento de datos personales.
Las medidas de seguridad que exige la normativa se clasifican en tres niveles: básico, medio y alto, fundamentalmente según la sensibilidad de los datos tratados, así como del tipo de actividad ejercida por responsable del fichero. A continuación se exponen algunas de las funcionalidades que se deben tener en cuenta para cumplir con las obligaciones legales al valorar las soluciones de prevención de pérdida de datos (DLP) a implantar.
Obligaciones respecto a medidas de seguridad de nivel básico.
Debe mantenerse un registro actualizado de las personas facultadas para conceder autorizaciones o delegar, así como documentos que detallen las funciones, obligaciones y perfiles de los usuarios con acceso a datos de carácter personal. En todo caso, cada usuario tendrá limitado su acceso a los recursos relevantes para sus funciones (artículos 84, 89 y 91 del RDLOPD).
Las soluciones DLP adecuadas garantizan el cumplimiento de los tres artículos mencionados ya que permiten diferenciar niveles de acceso a los datos y designar a las personas responsables de la gestión de seguridad. Estas personas tendrán las facultades para determinar las funciones de todos los usuarios del sistema, pudiendo crear distintos tipos de perfiles con derechos de acceso y tratamiento de datos específicos para cada uno de ellos.
Todos los accesos remotos a los sistemas de información deben cumplir las mismas medidas de seguridad que los accesos en modo local (art. 85 del RDLOP)
Esta obligación demanda una protección inteligente de datos, que controle tanto cualquier acceso externo a la red corporativa como el tráfico saliente y además lo analice con las tecnologías más avanzadas (análisis lingüístico y contextual, huellas dactilares, expresiones regulares, etc., bloqueando (en el caso de violación de las políticas de seguridad) el tráfico saliente.
Todo tratamiento de datos fuera de las instalaciones del responsable del fichero debe estar expresamente autorizado por él, quien responde igualmente de que se realice con las debidas garantías de seguridad (art. 86 del RDLOPD)
Este artículo resulta de aplicación especialmente a los equipos portátiles. Para evitar infracciones, pueden emplearse herramientas para cifrar información contenida en dispositivos portátiles y evitar el acceso no autorizado, por ejemplo, en el caso de robo de un laptop o extravío de una memoria extraíble. Además el uso de laptops fuera de la red corporativa puede controlarse con algún producto de protección de puntos finales. Las políticas de seguridad almacenadas en el ordenador permanecen vigentes hasta fuera del perímetro de la compañía controlando y registrando todas las operaciones del usuario con datos confidenciales.
1.4. Los ficheros temporales y copias de documentos deben cumplir las medidas de seguridad que corresponden a los ficheros de los que son extraídos (art. 87 del RDLOD).
En este punto sería adecuada, por ejemplo, una solución que active el análisis lingüístico que permite proteger, tanto los datos estáticos indexados en el sistema, como los confidenciales y los dinámicos que acaban de aparecer (ficheros temporales, documentos nuevos etc.).
1.5. Debe establecerse un procedimiento de gestión, notificación y registro de las incidencias de seguridad detectadas (art. 90 del RDLOPD).
Las soluciones de DLP acostumbran a ofrecer múltiples herramientas de monitorización y análisis retrospectivo de la actividad de todos los usuarios. Las incidencias de seguridad se registran por el sistema y pueden ser accedidas e investigadas exclusivamente por los responsables de seguridad autorizados. La base de incidencias proporciona la información necesaria para el análisis forense.
1.6. Obligación de adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios con acceso autorizado a los sistemas de información de un modo que garantice su confidencialidad e integridad (art. 93 del RDLOPD).
Cada usuario con acceso autorizado a los sistemas de información protegidos debe contar con su contraseña personal, que garantiza su identificación inequívoca. Por razones de confidencialidad las contraseñas no deberían almacenarse en el sistema, sino hacer que el usuario sea la única persona que conoce su contraseña. El programa de DLP debería garantizar medidas y procedimientos seguros para su recuperación en caso de que el usuario la olvide.
Medidas de seguridad de nivel medio
2.1. Existe la obligación de realizar una auditoría de seguridad, interna o externa cada dos años, que verifique el estado de situación respecto al cumplimiento de las obligaciones establecidas en el RDLOPD y proponga medidas correctoras cuando sea necesario (artículo 96 del RDLOPD).
Trabajando con soluciones de DLP que registren todas las acciones de usuarios y los sucesos relacionados con la seguridad, se podrá agilizar la auditoría elaborando informes con datos, hechos y observaciones en los que podrán basarse los dictámenes alcanzados y las recomendaciones propuestas.
2.2. Obligación de llevar un registro de entrada y salida de soportes con datos personales, incluidos los archivos adjuntos a correos electrónicos (artículo 97 del RDLOPD).
Resultan adecuados los sistemas de protección de datos que permiten controlar todos los canales de transmisión de datos confidenciales: correo electrónico (incluso archivos adjuntos), Internet, dispositivos externos (CD/DVD, varios dispositivos USB, Flashcards, ordenadores portátiles, etc.), registrar operaciones con datos confidenciales y prevenir aquellas que no cumplan con los requerimientos de las políticas de seguridad aprobadas
3. Nivel alto de seguridad.
La distribución de los soportes que contengan datos de carácter personal, se debe realizar cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte y, en todo caso, estarán bajo el control del responsable del fichero.
Para cumplir con esta obligación, el producto de cifrado desarrollado por algunas empresas especializadas en DLP garantiza la protección centralizada de objetos de almacenamiento de datos: archivos, carpetas, discos físicos, incluyendo discos de sistema y discos de arranque, dispositivos extraíbles, usando un fuerte algoritmo de cifrado AES.
Se exige el registro y conservación durante dos años, de cada acceso y manipulación de los datos confidenciales, además de la obligación para el responsable de seguridad de revisar mensualmente estos registros y de elaborar un informe detallando problemas detectados y propuestas de solución (artículo 103 del RDLOPD)
Es probable que la obligación de registro de accesos establecida en este artículo sea una de las más difíciles de llevar a la práctica. No obstante, ciertas soluciones ofrecen herramientas de cifrado que permiten guardar el tipo de información que exige el RDLOPD. Esto es, información sobre accesos a los datos cifrados con identificación del usuario, la fecha y hora en que se realizó el acceso, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado
Medidas de seguridad para los ficheros en soporte papel.
Si bien en la actualidad la gran mayoría de datos en cualquier empresa o institución se producen y gestionan en formato digital, la normativa impone también exigencias de seguridad para los ficheros en soporte papel (Capítulo III del Título VIII del RDLOP). Merece especial atención el hecho de que la generación de copias o la reproducción de los documentos únicamente puede ser realizada bajo el control del personal autorizado.
En el mercado existen soluciones de seguridad que verifican si la impresión de documentos, tanto local como de red, corresponde a las políticas de seguridad haciendo las copias de sombra que se analizan por el servidor central.
¿Cómo conseguir que nuestros datos se traten legalmente y estén a salvo?
Una política acertada de cumplimiento de la ley debería incluir un enfoque apropiado de la protección de datos. Al fin y al cabo, la normativa española pretende impulsar la aplicación de los niveles de seguridad necesarios para impedir el mal uso y la pérdida de los datos, así como para garantizar el respeto de los derechos individuales cuando se trata de datos personales. Pese a sus aspectos sancionadores, el hecho es que ajustarse a la normativa implica una auditoría de la gestión de datos que se está llevando a cabo que beneficia a la empresa o institución.
En este sentido, si al escoger una solución de DLP de un proveedor especializado se tienen en cuenta las funcionalidades necesarias para cumplir con la LOPD y el RDLOPD, descritas en este artículo, nuestros datos estarán igualmente protegidos contra el espionaje industrial y las fugas de información de todo tipo.
Como con cualquier estrategia, planificar es la clave y la prevención contra la pérdida de datos es una tarea dinámica y que precisa revisión constante. Afortunadamente, hoy en día unos pocos fabricantes ya producen programas y servicios diseñados especialmente para dar cumplimiento a las cambiantes exigencias legales y necesidades corporativas. Protegiéndose a sí mismas ahora, las organizaciones inteligentes evitarán problemas potenciales en el futuro.
Autor: Computerworld | Fecha: 28/01/2011
Los centros sanitarios privados cumplen más la ley de protección de datos
Los centros sanitarios privados cumplen más la normativa que regula la protección de datos que los públicos, un incumplimiento que se produce mayoritariamente en la implantación de medidas de seguridad y su auditoría de seguridad jurídica, lo que implica la necesidad de mejorar buena parte de los sistemas de gestión que funcionan actualmente.
Esta situación es fruto del “Informe de Cumplimiento de la LOPD en Hospitales”, publicado por la Agencia Española de Protección de Datos (AEPD), en el que se recogen los resultados y conclusiones de un análisis sobre el nivel de cumplimiento de las garantías de protección de datos en más de 600 centros hospitalarios públicos y privados de toda España.
Entre las principales conclusiones, este análisis destaca un mayor grado de cumplimiento de la normativa por parte de los centros sanitarios privados respecto a los centros públicos en la mayoría de conceptos clave analizados, como son inscripción de ficheros; inclusión de cláusulas informativas en los formularios de recogida de datos; disponibilidad de procedimientos para atender el ejercicio de los derechos de los ciudadanos; y, en general, en la implantación de medidas de seguridad y su auditoría de seguridad periódica.
De hecho, el tema ha centrado la jornadas organizada por la Cátedra Áliad “Salud y Excelencia, celebrada recientemente, y en la que el profesor David Martínez Hernández, director de la cátedra, ha reiterado que no se debe olvidar que la normativa que regula la protección de datos “es una ley de obligado cumplimiento para todos los centros sanitarios y su incumplimiento representa elevadas sanciones por parte de la AEPD. Además hay que tener en cuenta que la sanidad, por su idiosincrasia, maneja datos de nivel alto por cual es el sector más afectado por la LOPD”.
Otras conclusiones de las jornadas se centran en la deficiente implantación de medidas de seguridad de los datos. Pese a un 98% de los centros privados y un 83% de los centros públicos han elaborado el Documento de Seguridad previsto en el reglamento de la LOPD, “existen centros sanitarios, principalmente públicos, en los que se constatan importantes deficiencias en la implantación de medidas para que los datos personales e información sanitaria de los pacientes sean adecuadamente custodiados y no puedan ser conocidos por terceros no autorizados”,
Otro de los aspectos que cabe destacar del informe es que el 86% de los centros hospitalarios, tanto públicos como privados, ha externalizado servicios que implican el tratamiento de datos personales por entidades distintas al propio centro. Asimismo, cerca del 40% de los centros públicos y del 15% de los privados carecen de un registro de accesos a la información sanitaria, y sólo el 55% de los centro públicos incluye cláusulas informativas en los formularios de recogida de datos, frente al 94,5% de los privados.
DEFICIENCIAS PREOCUPANTES
Las deficiencias detectadas tras la realización de este informe son especialmente preocupantes, ante los impactos que el incumplimiento de las garantías de protección de datos por los centros sanitarios puede tener en la esfera más íntima de los ciudadanos.
En este sentido, en la jornada celebrada por la Cátedra Áliad “Salud y Excelencia” se han debatido, entre otros temas, la experiencia en la implantación de la ley en centros privados, los requisitos legales impuestos en la sanidad y la manera de implantar un sistema de gestión de los datos de carácter personal en un centro privado.
La jornada ha contado con la participación de Jesús Rubí Navarrete, adjunto a Dirección de la Agencia Española de Protección de Datos; Mercè Soteras Gomis, adjunta a Dirección General y directora de Calidad de Red Asistencial Juaneda; y Daniel Craven-Bartle Coll, director jurídico de Áliad.
De hecho, Mercè Soteras considera “imprescindible la implicación personal de la dirección de la organización y, por supuesto, la formación y concienciación que debe transmitirse a todas las personas que la integran”, ya que la implantación es un proceso laborioso en el que “es preciso continuar trabajando todos los días para asegurar el cumplimiento de esta Ley que resulta especialmente compleja de aplicar en el sector sanitario privado”; es más, Soteras opina que el hecho que aún hoy la LOPD, promulgada en 1999, continúe siendo un tema de rabiosa actualidad “guarda probablemente una estrecha relación con la complejidad de su aplicación”.
La estricta aplicación de la regulación es especialmente importante en las organizaciones que manejas datos personales e información sanitaria privada, datos especialmente protegidos con nivel de seguridad alto. Por eso, la recomendación de Mercè Soteras a hospitales o centros sanitarios del sector es “que realicen todos los esfuerzos que sean precisos para hacerlo, y que se pongan en marcha rápidamente
Craven-Bartle, por su parte, entiende que es de especial relevancia “tener en cuenta los aspectos más inquietantes para la sanidad privada a la hora de entender e implementar las medidas que la legislación exige”.
Y es que, además de los requisitos documentales que debe cumplir todo centro sanitario privado, hay que tener en cuenta las dificultades añadidas que éstos tienen, ya que “hay que vislumbrar las diversas y complicadas relaciones que existen entre las distintas empresas que pueden convivir dentro de un mismo centro sanitario o las relaciones con las aseguradoras y las distintas imposiciones que éstas, en ocasiones y no siempre, hacen a los propios centros con los que conciertan.
En esta misma línea, hay que tener en cuenta las relaciones entre los propios profesionales, dado a que muchos de ellos no están en plantilla y son muy numerosos”. Y junto a estas dificultades hay que tener en cuenta la paradoja existente de la concertación de listas de espera con centros sanitarios públicos y el grado de cumplimiento entre una y la otra, con un mayor grado de cumplimiento de la sanidad privada tal y como señala el propio Informe de la Agencia Española de Protección de Datos.
Fuente: Diario Mallorca
Fecha: 25/01/2011
Esta situación es fruto del “Informe de Cumplimiento de la LOPD en Hospitales”, publicado por la Agencia Española de Protección de Datos (AEPD), en el que se recogen los resultados y conclusiones de un análisis sobre el nivel de cumplimiento de las garantías de protección de datos en más de 600 centros hospitalarios públicos y privados de toda España.
Entre las principales conclusiones, este análisis destaca un mayor grado de cumplimiento de la normativa por parte de los centros sanitarios privados respecto a los centros públicos en la mayoría de conceptos clave analizados, como son inscripción de ficheros; inclusión de cláusulas informativas en los formularios de recogida de datos; disponibilidad de procedimientos para atender el ejercicio de los derechos de los ciudadanos; y, en general, en la implantación de medidas de seguridad y su auditoría de seguridad periódica.
De hecho, el tema ha centrado la jornadas organizada por la Cátedra Áliad “Salud y Excelencia, celebrada recientemente, y en la que el profesor David Martínez Hernández, director de la cátedra, ha reiterado que no se debe olvidar que la normativa que regula la protección de datos “es una ley de obligado cumplimiento para todos los centros sanitarios y su incumplimiento representa elevadas sanciones por parte de la AEPD. Además hay que tener en cuenta que la sanidad, por su idiosincrasia, maneja datos de nivel alto por cual es el sector más afectado por la LOPD”.
Otras conclusiones de las jornadas se centran en la deficiente implantación de medidas de seguridad de los datos. Pese a un 98% de los centros privados y un 83% de los centros públicos han elaborado el Documento de Seguridad previsto en el reglamento de la LOPD, “existen centros sanitarios, principalmente públicos, en los que se constatan importantes deficiencias en la implantación de medidas para que los datos personales e información sanitaria de los pacientes sean adecuadamente custodiados y no puedan ser conocidos por terceros no autorizados”,
Otro de los aspectos que cabe destacar del informe es que el 86% de los centros hospitalarios, tanto públicos como privados, ha externalizado servicios que implican el tratamiento de datos personales por entidades distintas al propio centro. Asimismo, cerca del 40% de los centros públicos y del 15% de los privados carecen de un registro de accesos a la información sanitaria, y sólo el 55% de los centro públicos incluye cláusulas informativas en los formularios de recogida de datos, frente al 94,5% de los privados.
DEFICIENCIAS PREOCUPANTES
Las deficiencias detectadas tras la realización de este informe son especialmente preocupantes, ante los impactos que el incumplimiento de las garantías de protección de datos por los centros sanitarios puede tener en la esfera más íntima de los ciudadanos.
En este sentido, en la jornada celebrada por la Cátedra Áliad “Salud y Excelencia” se han debatido, entre otros temas, la experiencia en la implantación de la ley en centros privados, los requisitos legales impuestos en la sanidad y la manera de implantar un sistema de gestión de los datos de carácter personal en un centro privado.
La jornada ha contado con la participación de Jesús Rubí Navarrete, adjunto a Dirección de la Agencia Española de Protección de Datos; Mercè Soteras Gomis, adjunta a Dirección General y directora de Calidad de Red Asistencial Juaneda; y Daniel Craven-Bartle Coll, director jurídico de Áliad.
De hecho, Mercè Soteras considera “imprescindible la implicación personal de la dirección de la organización y, por supuesto, la formación y concienciación que debe transmitirse a todas las personas que la integran”, ya que la implantación es un proceso laborioso en el que “es preciso continuar trabajando todos los días para asegurar el cumplimiento de esta Ley que resulta especialmente compleja de aplicar en el sector sanitario privado”; es más, Soteras opina que el hecho que aún hoy la LOPD, promulgada en 1999, continúe siendo un tema de rabiosa actualidad “guarda probablemente una estrecha relación con la complejidad de su aplicación”.
La estricta aplicación de la regulación es especialmente importante en las organizaciones que manejas datos personales e información sanitaria privada, datos especialmente protegidos con nivel de seguridad alto. Por eso, la recomendación de Mercè Soteras a hospitales o centros sanitarios del sector es “que realicen todos los esfuerzos que sean precisos para hacerlo, y que se pongan en marcha rápidamente
Craven-Bartle, por su parte, entiende que es de especial relevancia “tener en cuenta los aspectos más inquietantes para la sanidad privada a la hora de entender e implementar las medidas que la legislación exige”.
Y es que, además de los requisitos documentales que debe cumplir todo centro sanitario privado, hay que tener en cuenta las dificultades añadidas que éstos tienen, ya que “hay que vislumbrar las diversas y complicadas relaciones que existen entre las distintas empresas que pueden convivir dentro de un mismo centro sanitario o las relaciones con las aseguradoras y las distintas imposiciones que éstas, en ocasiones y no siempre, hacen a los propios centros con los que conciertan.
En esta misma línea, hay que tener en cuenta las relaciones entre los propios profesionales, dado a que muchos de ellos no están en plantilla y son muy numerosos”. Y junto a estas dificultades hay que tener en cuenta la paradoja existente de la concertación de listas de espera con centros sanitarios públicos y el grado de cumplimiento entre una y la otra, con un mayor grado de cumplimiento de la sanidad privada tal y como señala el propio Informe de la Agencia Española de Protección de Datos.
Fuente: Diario Mallorca
Fecha: 25/01/2011
Correo electrónico, ¿propiedad de la empresa o del trabajador?
Una de las cosas más comunes cuando nos dan una cuenta de correo electrónico en el la empresa es que comencemos a facilitarla a todos nuestros contactos. De esta forma facilitamos a nuestros amigos, clientes, etc. el estar en contacto con nosotros a través de este medio. Pero, ¿a quién pertenece la cuenta de correo electrónico?, ¿propiedad de la empresa o del trabajador?. Es una vieja cuestión que en mi opinión necesita de mucha formación para usuario y empresarios.
Lo primero que podemos decir que lo mejor es no mezclar el correo electrónico privado con el corporativo. Mantener en distintos planos la vida laboral y la personal es fundamental. También en el correo. Con estas cuestiones entre otras cosas spam. En muchas ocasiones nuestra dirección de correo empresarial acaba filtrada a través del reenvío de un reenvío de correo y a partir de aquí empezamos a recibir correo basura.
Por otro lado tenemos una pérdida de tiempo, una distracción continua a poco que tengamos una mínima actividad en nuestro correo. No se trata de recibir tres o cuatro correos a lo largo del día, sino que cuando los recibimos seguramente dejaremos la tarea que estamos realizando para abrirlos. Si mantenemos nuestro correo personal separado accederemos a la cuenta de correo en el momento de hacer un pequeño descanso.
Otra cuestión aparte son los contenidos inapropiados. Por lo general al mezclar ámbitos privados y de trabajo acabamos recibiendo fotos, vídeos, chistes, etc. que una vez que tenemos en el correo de la oficina muchas personas reenvían a su vez al resto de compañeros. Cada uno sabe que tipo de relacción lleva con sus compañeros, pero dado que rara vez se utiliza la copia oculta luego acaba llegando, no se sabe como a la dirección de tal o cuál responsable al que no le ha parecido tan gracioso.
Además se genera un importante spam interno. A poco tamaño que vaya teniendo nuestra organización el mismo chiste nos puede llegar dos o tres veces de distintos compañeros. Si el botón de reenviar a todos los contactos o a la lista de correo de la oficina debería tener una confirmación para mucha gente se lo pensara antes de pulsarlo.
Por otro lado la empresa cree que el correo corporativo es de su propiedad y puede verse tentada de acceder al contenido de correos que sean del ámbito privado del usuario. En este caso es que aunque el correo sea propiedad de la empresa acceder al contenido de los mismos es una cuestión legal complicada. Simplemente con saber que se está utilizando para el ámbito privado ya sería motivo de sanción, no es necesario que se abran dichos correos para saber su contenido.
Está claro que todo lo debemos dejar en su justa medida. Personalmente prefiero que los usuarios puedan consultar sus cuentas de correo privadas, tipo Gmail o Yahoo, antes de que faciliten sus cuentas de correo corporativo a sus amigos. Mi servidor de correo estará más seguro si sólo lo utilizamos en el ámbito laboral y dejamos el envío de otros temas desde la cuenta privada.
Utilizar el sentido común, tanto por parte de la empresa como del trabajador, saber dónde está el límite del uso y del abuso son dos de las máximas que debemos aplicar en la gestión del correo electrónico en el trabajo. Igual que no podemos pedir a un trabajador que use su correo privado si el no quiere para enviar determinado correo a tal o cuál cliente, nosotros no debemos utilizarlo con fines privados.
Fuente: pysnnoticias.com
Fecha: 23/01/2011
Lo primero que podemos decir que lo mejor es no mezclar el correo electrónico privado con el corporativo. Mantener en distintos planos la vida laboral y la personal es fundamental. También en el correo. Con estas cuestiones entre otras cosas spam. En muchas ocasiones nuestra dirección de correo empresarial acaba filtrada a través del reenvío de un reenvío de correo y a partir de aquí empezamos a recibir correo basura.
Por otro lado tenemos una pérdida de tiempo, una distracción continua a poco que tengamos una mínima actividad en nuestro correo. No se trata de recibir tres o cuatro correos a lo largo del día, sino que cuando los recibimos seguramente dejaremos la tarea que estamos realizando para abrirlos. Si mantenemos nuestro correo personal separado accederemos a la cuenta de correo en el momento de hacer un pequeño descanso.
Otra cuestión aparte son los contenidos inapropiados. Por lo general al mezclar ámbitos privados y de trabajo acabamos recibiendo fotos, vídeos, chistes, etc. que una vez que tenemos en el correo de la oficina muchas personas reenvían a su vez al resto de compañeros. Cada uno sabe que tipo de relacción lleva con sus compañeros, pero dado que rara vez se utiliza la copia oculta luego acaba llegando, no se sabe como a la dirección de tal o cuál responsable al que no le ha parecido tan gracioso.
Además se genera un importante spam interno. A poco tamaño que vaya teniendo nuestra organización el mismo chiste nos puede llegar dos o tres veces de distintos compañeros. Si el botón de reenviar a todos los contactos o a la lista de correo de la oficina debería tener una confirmación para mucha gente se lo pensara antes de pulsarlo.
Por otro lado la empresa cree que el correo corporativo es de su propiedad y puede verse tentada de acceder al contenido de correos que sean del ámbito privado del usuario. En este caso es que aunque el correo sea propiedad de la empresa acceder al contenido de los mismos es una cuestión legal complicada. Simplemente con saber que se está utilizando para el ámbito privado ya sería motivo de sanción, no es necesario que se abran dichos correos para saber su contenido.
Está claro que todo lo debemos dejar en su justa medida. Personalmente prefiero que los usuarios puedan consultar sus cuentas de correo privadas, tipo Gmail o Yahoo, antes de que faciliten sus cuentas de correo corporativo a sus amigos. Mi servidor de correo estará más seguro si sólo lo utilizamos en el ámbito laboral y dejamos el envío de otros temas desde la cuenta privada.
Utilizar el sentido común, tanto por parte de la empresa como del trabajador, saber dónde está el límite del uso y del abuso son dos de las máximas que debemos aplicar en la gestión del correo electrónico en el trabajo. Igual que no podemos pedir a un trabajador que use su correo privado si el no quiere para enviar determinado correo a tal o cuál cliente, nosotros no debemos utilizarlo con fines privados.
Fuente: pysnnoticias.com
Fecha: 23/01/2011
Suscribirse a:
Entradas (Atom)
Entradas
