Aumentan las denuncias solicitando la cancelación de datos de los Boletines Oficiales de Internet
40.000 menores de la Comunidad de Madrid recibieron una sesión informativa de cómo garantizar su privacidad en las redes sociales
6.000 empleados públicos se formaron tanto de forma on-line como presencialmente en protección de datos
Estos resultados se han hecho públicos en la presentación de la Memoria de Actividades de la APDCM correspondiente al año 2010
La Agencia de Protección de Datos de la Comunidad de Madrid, ha presentado hoy su Memoria anual.
Una de las funciones principales de la Agencia es la de asesorar y ofrecer formación a las Administraciones Públicas de la Comunidad de Madrid para que se haga un buen uso de los datos y se cumpla la normativa vigente.
En este sentido, durante el año 2010 la APDCM ha realizado una importante labor formativa, tanto de forma presencial (ha realizado 151 sesiones informativas en las que han participado unas 4.474 personas y cuatro jornadas en las que han tomado parte 573 asistentes) como virtual a través de un curso on-line en el que, en diversas convocatorias, han participado más de mil alumnos.
Siguiendo con esta línea, destaca también el Plan de Comunicación en Protección de Datos Personales para Escolares, por el que se visitó a cada uno de los 404 Institutos de Educación Secundaria de la Comunidad de Madrid, para sensibilizar de la importancia de la protección de los datos de los menores, y se produjeron dos vídeos con este fin, a los que se le dio difusión a través de Tuenti, Youtube, y Telemadrid.
Por lo que se refiere a las denuncias e inspección, desde el año 2008 se ha producido un aumento considerable de reclamaciones de los ciudadanos que no quieren aparecer en Internet, concretamente en los resultados de los motores de búsqueda con enlaces a los Boletines oficiales, y por tanto, ejercitando el llamado derecho al olvido.
Además, se han tramitado 176 expedientes por la Subdirección General de Inspección y Tutela de Derechos de los que 118 corresponden al ejercicio de la función inspectora y 58 se refieren a la función de tutela de derechos.
En 2010 cabe destacar el interés que la APDCM ha mantenido en ofrecer ayuda e información para la correcta gestión de los datos de los menores, en la continuación de los esfuerzos de regularización y adecuación de los tratamientos de videovigilancia, en la formación de los directivos de las AA.PP. regionales, en la colaboración con la Administración autonómica en los proyectos de e-Administración para garantizar el respeto a los derechos de los ciudadanos y en su adecuación a las normas de protección de datos en el sector de la salud.
Asimismo, de los datos que la Agencia ha hecho públicos en su Memoria 2010, sobresale que, aunque ya desde 2008 todos los ayuntamientos de la Comunidad de Madrid cuentan con ficheros inscritos, se produce un proceso de mejora constante que ha dado lugar a un aumento de los ficheros declarados por los ayuntamientos que ha pasado de los 3.489 del año 2009 a los 3.835 ficheros registrados en 2010 lo que supone una media de 21,42 ficheros inscritos por cada Ayuntamiento de la Comunidad de Madrid frente a los 19,49 del periodo anterior.
Así, Santiago Abascal, Director de la Agencia de Protección de Datos de la Comunidad de Madrid, ha afirmado que “la Agencia tiene entres sus objetivos principales el asesoramiento, la consultoría, la formación y la sensibilización en relación al tratamiento de los Datos Personales en las Administraciones Públicas, con el fin de que éstas hagan un buen uso de los datos que gestionan”
La Agencia también tiene una labor de sensibilización y pedagogía de la Protección de Datos entre los ciudadanos. De esta forma, la memoria refleja que, en el ejercicio del 2010 la APDCM atendió un total de 1.800 consultas de ciudadanos, donde se les proporcionaba información y orientación acerca de los derechos reconocidos en la LOPD vigente, así mismo Santiago Abascal ha explicado que “A medida que el ciudadano se va concienciando de este derecho hemos notado un incremento notable de la consultas. Entre todas las consultas, podemos destacar la importancia de las recibidas en materia de videovigilancia y publicación de datos personales en Boletines Oficiales e Internet, y otras más generales como por ejemplo el cumplimiento del artículo 5 de la LOPD o el procedimiento de creación de ficheros”.
Fuente: Lawyerpress
Fecha: 21/06/2011
viernes, 24 de junio de 2011
Los ‘hackers’ declaran la guerra online
Sony, Google, Citigroup, la CIA, el Fondo Monetario Internacional (FMI), el Senado de los Estados Unidos, el organismo español Inteco... En los últimos meses, hemos asistido a una oleada de ataques informáticos hacia grandes empresas e instituciones de prestigio. ¿Pueden los gobiernos, las multinacionales y las grandes instituciones mundiales estar perdiendo la batalla frente a los hackers?
La percepción es que los cibercriminales van siempre un paso por delante. ¿Es un problema de incapacidad de la industria de seguridad? ¿O es que las empresas y los organismos no adoptan todas las medidas necesarias para protegerse? “Por una parte, algunas entidades no son conscientes del riesgo de un ciberataque. Por otro, la piratería informática se ha profesionalizado hasta un punto inimaginable”, comenta Pablo Teijeira, experto en Seguridad TI de Sophos Iberia, compañía que sirve herramientas de seguridad a las empresas.
“Existen en Internet portales en los que se pueden comprar malware y listas de vulnerabilidades de las aplicaciones del mercado. Algunos ofrecen, incluso, un soporte técnico 24 horas y garantías de devolución del dinero, en caso de que el malware adquirido no funcione correctamente”, explica Teijeira.
Medidas insuficientes
Luis Corrons, director técnico de PandaLabs, el laboratorio de la firma española Panda Security, cree que no se toman las medidas de seguridad suficientes. “Confío en que este aumento de ataques haga reaccionar a muchos. Es cierto que no existe la caja fuerte perfecta, pero lo que no se puede hacer es dejar la puerta de la caja abierta”, ilustra este experto. El caso de Citigroup es paradigmático. El fin de semana pasado, un fallo de seguridad permitió a los piratas robar datos de las tarjetas de crédito de 360.000 clientes.
“Salvo alguna excepción, creo que las empresas y organismos se preocupan, y mucho, por los aspectos de seguridad. Pero sí es cierto que se puede producir una falsa sensación de seguridad que puede llevarles a relajarse”, opina Rafael Ortega, socio de Seguridad de la Información de Ernst & Young, quien matiza que “siempre han existido ataques, pero la diferencia es que ahora tenemos conocimiento de ellos”. Según estimaciones de Check Point, las pérdidas económicas derivadas de un ‘ciberataque’ para una empresa oscilan entre 237.000 millones y 52 millones de dólares (168.115 millones y 36,8 millones de euros).
Los expertos coinciden en que la amenaza del cibercrimen seguirá creciendo. Por una parte, las mafias organizadas ganan mucho dinero con el robo de información. Ahí se inscriben ataques como el que ha sufrido Sony, que se saldó con la sustracción de datos de más de 100 millones de clientes. En el mercado negro se pagan 2 dólares por los detalles de una tarjeta de crédito, y 10 dólares por la identidad completa de un internauta, según datos de la firma de seguridad Trend Micro.
En otros casos, los ataques responden a una intencionalidad política. Es lo que se conoce como ‘ciberterrorismo’. En este campo parece inscribirse el ataque sufrido por el Fondo Monetario Internacional (FMI) el pasado fin de semana. Este asalto, del que se desconoce su autoría, podría constituir un intento de algún gobierno de robo de información confidencial, según un exconsultor de seguridad del FMI consultado por The New York Times.
En otros casos, estos grandes organismos sufren ataques porque “su visibilidad los convierte en objetivo de las reivindicaciones de activistas”, resalta Vicente Díaz, analista senior de malware de Kaspersky Lab.
“La situación ha llegado hasta el punto de que cualquiera puede ser un objetivo, siendo también los atacantes grupos cada vez menos definidos”, advierte Díaz. “Algunos atacan de forma prácticamente aleatoria”, asegura.
Los gobiernos, alerta
Los gobiernos son conscientes de la necesidad de proteger las infraestructuras críticas de un país. En Estados Unidos, hace cuatro años que se creó un gabinete específico de seguridad TIC que depende la Casa Blanca. En España, “la Ley Orgánica de Protección de Datos (LOPD) y el Esquema Nacional de Seguridad (ENS) han reforzado mucho las garantías de lo público”, asegura Teijeira. El ENS plantea la obligatoriedad, a partir de 2012, de cuestiones como el cifrado de todos los portátiles de la Administración. Asimismo, la Policía Nacional, la Guardia Civil y el Ejército disponen ya de unidades especializadas en el cibercrimen.
No solo atacan por dinero
Los primeros hackers eran jóvenes que buscaban el reconocimiento. Más adelante, pasaron a regirse por ansias de lucro. En la actualidad, ha renacido la figura del ciberactivista que busca exclusivamente poner en evidencia la inseguridad de los sistemas de grandes empresas e instituciones. Es el caso del colectivo Lulz, responsable de los últimos ataques a la CIA, el Senado de EEUU, Sony y Nintendo. “Con una diferencia”, resalta Luis Corrons, director técnico de Panda Labs, “estos nuevos ciberdelincuentes aprovechan los ataques para robar datos”.
Fuente: Expansion
Fecha: 17/06/2011
La percepción es que los cibercriminales van siempre un paso por delante. ¿Es un problema de incapacidad de la industria de seguridad? ¿O es que las empresas y los organismos no adoptan todas las medidas necesarias para protegerse? “Por una parte, algunas entidades no son conscientes del riesgo de un ciberataque. Por otro, la piratería informática se ha profesionalizado hasta un punto inimaginable”, comenta Pablo Teijeira, experto en Seguridad TI de Sophos Iberia, compañía que sirve herramientas de seguridad a las empresas.
“Existen en Internet portales en los que se pueden comprar malware y listas de vulnerabilidades de las aplicaciones del mercado. Algunos ofrecen, incluso, un soporte técnico 24 horas y garantías de devolución del dinero, en caso de que el malware adquirido no funcione correctamente”, explica Teijeira.
Medidas insuficientes
Luis Corrons, director técnico de PandaLabs, el laboratorio de la firma española Panda Security, cree que no se toman las medidas de seguridad suficientes. “Confío en que este aumento de ataques haga reaccionar a muchos. Es cierto que no existe la caja fuerte perfecta, pero lo que no se puede hacer es dejar la puerta de la caja abierta”, ilustra este experto. El caso de Citigroup es paradigmático. El fin de semana pasado, un fallo de seguridad permitió a los piratas robar datos de las tarjetas de crédito de 360.000 clientes.
“Salvo alguna excepción, creo que las empresas y organismos se preocupan, y mucho, por los aspectos de seguridad. Pero sí es cierto que se puede producir una falsa sensación de seguridad que puede llevarles a relajarse”, opina Rafael Ortega, socio de Seguridad de la Información de Ernst & Young, quien matiza que “siempre han existido ataques, pero la diferencia es que ahora tenemos conocimiento de ellos”. Según estimaciones de Check Point, las pérdidas económicas derivadas de un ‘ciberataque’ para una empresa oscilan entre 237.000 millones y 52 millones de dólares (168.115 millones y 36,8 millones de euros).
Los expertos coinciden en que la amenaza del cibercrimen seguirá creciendo. Por una parte, las mafias organizadas ganan mucho dinero con el robo de información. Ahí se inscriben ataques como el que ha sufrido Sony, que se saldó con la sustracción de datos de más de 100 millones de clientes. En el mercado negro se pagan 2 dólares por los detalles de una tarjeta de crédito, y 10 dólares por la identidad completa de un internauta, según datos de la firma de seguridad Trend Micro.
En otros casos, los ataques responden a una intencionalidad política. Es lo que se conoce como ‘ciberterrorismo’. En este campo parece inscribirse el ataque sufrido por el Fondo Monetario Internacional (FMI) el pasado fin de semana. Este asalto, del que se desconoce su autoría, podría constituir un intento de algún gobierno de robo de información confidencial, según un exconsultor de seguridad del FMI consultado por The New York Times.
En otros casos, estos grandes organismos sufren ataques porque “su visibilidad los convierte en objetivo de las reivindicaciones de activistas”, resalta Vicente Díaz, analista senior de malware de Kaspersky Lab.
“La situación ha llegado hasta el punto de que cualquiera puede ser un objetivo, siendo también los atacantes grupos cada vez menos definidos”, advierte Díaz. “Algunos atacan de forma prácticamente aleatoria”, asegura.
Los gobiernos, alerta
Los gobiernos son conscientes de la necesidad de proteger las infraestructuras críticas de un país. En Estados Unidos, hace cuatro años que se creó un gabinete específico de seguridad TIC que depende la Casa Blanca. En España, “la Ley Orgánica de Protección de Datos (LOPD) y el Esquema Nacional de Seguridad (ENS) han reforzado mucho las garantías de lo público”, asegura Teijeira. El ENS plantea la obligatoriedad, a partir de 2012, de cuestiones como el cifrado de todos los portátiles de la Administración. Asimismo, la Policía Nacional, la Guardia Civil y el Ejército disponen ya de unidades especializadas en el cibercrimen.
No solo atacan por dinero
Los primeros hackers eran jóvenes que buscaban el reconocimiento. Más adelante, pasaron a regirse por ansias de lucro. En la actualidad, ha renacido la figura del ciberactivista que busca exclusivamente poner en evidencia la inseguridad de los sistemas de grandes empresas e instituciones. Es el caso del colectivo Lulz, responsable de los últimos ataques a la CIA, el Senado de EEUU, Sony y Nintendo. “Con una diferencia”, resalta Luis Corrons, director técnico de Panda Labs, “estos nuevos ciberdelincuentes aprovechan los ataques para robar datos”.
Fuente: Expansion
Fecha: 17/06/2011
El Inteco se enfrenta a una multa de entre 40.001 y 300.000 euros
La normativa sobre protección de datos es muy clara al respecto en materia de seguridad de la información, considerando como “grave” el mantener los ficheros con datos personales sin las necesarias medidas de seguridad, así se consagra en el artículo 9 de la Ley Orgánica de Protección de Datos (LOPD), artículo que viene denominando “principio de seguridad de los datos” que impone la obligación, en este caso a INTECO, de adoptar las medidas de índole técnica y organizativa que garanticen la seguridad de los datos, teniendo estas medidas el fin de evitar el acceso no autorizado a los datos por terceros, no bastante más la simple adopción de cualquier medida ya que como ha señalado la Audiencia Nacional han de ser las necesarias para garantizar los objetivos fijados en el precepto y que éstas se instauren y pongan en práctica de manera efectiva.
Es evidente que si se ha filtrado a Internet un archivo informático con un poco más de 20.000 registros con datos de carácter personal, las medidas de seguridad adoptadas por el INTECO no llegan este mínimo exigido por la Ley, que impone una obligación de resultado: evitar accesos no autorizados.
Vulnerar este precepto, como se ha indicado, se considera una infracción grave la sanción de multa oscil.la entre 40.001 y 300.000 euros. En concreto, el artículo 9.2 de la LOPD indica:
“No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad ya las de los centros de tratamiento, locales, equipos, sistemas y programas. ”
ePrivacidad tienen conocimiento de que hasta ahora, la sanción más alta impuesta por la Agencia Española de Protección de Datos en temas relativos a la seguridad de la información le corresponde a la productora de televisión de Gran Hermano, habiendo sido sancionada hace unos años con una multa ligeramente superior al millón de euros.
Fuente: pysnnoticias
Fecha: 15/06/2011 La fuente original dice ser Verónica Alarcón, Directora Jurídica de ePrivacidad: http://www.eprivacidad.es/inteco-multa-entre-40-001-y-300-000-euros/
Es evidente que si se ha filtrado a Internet un archivo informático con un poco más de 20.000 registros con datos de carácter personal, las medidas de seguridad adoptadas por el INTECO no llegan este mínimo exigido por la Ley, que impone una obligación de resultado: evitar accesos no autorizados.
Vulnerar este precepto, como se ha indicado, se considera una infracción grave la sanción de multa oscil.la entre 40.001 y 300.000 euros. En concreto, el artículo 9.2 de la LOPD indica:
“No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad ya las de los centros de tratamiento, locales, equipos, sistemas y programas. ”
ePrivacidad tienen conocimiento de que hasta ahora, la sanción más alta impuesta por la Agencia Española de Protección de Datos en temas relativos a la seguridad de la información le corresponde a la productora de televisión de Gran Hermano, habiendo sido sancionada hace unos años con una multa ligeramente superior al millón de euros.
Fuente: pysnnoticias
Fecha: 15/06/2011 La fuente original dice ser Verónica Alarcón, Directora Jurídica de ePrivacidad: http://www.eprivacidad.es/inteco-multa-entre-40-001-y-300-000-euros/
"Son muchas las Administraciones que no cumplen el derecho de la protección de datos"
Aunque no lo parezca, con una normativa vigente clara en materia de protección de datos, algunas AAPP no satisfacen los requerimientos establecidos para velar por este derecho ciudadano. Esta ha sido una de las reflexiones del Presidente de ANDCE, Pedro Rodríguez López de Lemus, durante el último Encuentro Digital Cibersur.
Asimismo, el responsable de la patronal del comercio electrónico andaluz, se ha referido al inminente Mercado Único Digital, un nuevo marco menos regulado donde los gobiernos tendrán que adoptar "sistemas interoperables de compras públicas electrónicas, de facturación electrónica y de pagos electrónicos, basados en tecnologías flexibles y abiertas".
El papel de las redes sociales también ha entrado de lleno en este Encuentro Digital, y Pedro Rodríguez ha aclarado que ha ayudado a las empresas de e-commerce a "mejorar la productividad, la innovación, la colaboración y la implicación de los empleados, así como conocer las preferencias y gustos de sus clientes y procurarles una mejor atención".
Sin duda este encuentro digital se ha caracterizado por las dudas de los lectores y usuarios de Cibersur, en torno a la protección de datos, recibiendo el Presidente de ANDCE bastantes preguntas sobre casos personales, hecho que demuestra las carencias que existen todavía en esta materia, en nuestro país.
ENCUENTRO DIGITAL
Laura Martín - Hola. Quería consultarle su valoración respecto a cómo están tratando las empresas andaluzas el tema de la protección de datos. ¿Nos podemos sentir protegidos los andaluces realmente?
Los últimos datos publicados en la Memoria 2010 de la AEPD demuestran que en Andalucía cada vez hay una mayor concienciación en materia de protección de datos, ello se ve en el crecimiento de denuncias en nuestra comunidad, que en 2010 han sido 582.
También se ve claramente en el dato del aumento del número de ficheros inscritos en el Registro General de Protección de Datos, que antes muchas empresas no realizaban por el propio desconocimiento de esta normativa. En el 2010 se ha producido un incremento del 29,31% en Andalucía respecto al 2009, situándose actualmente la cifra en 94.452 ficheros privados inscritos.
Nacho - Si quisiera poner una reclamación a una empresa que ha dado mis datos a otras empresas, sin mi consentimiento, ¿qué protocolo tengo que seguir? Gracias
Nacho, si efectivamente se han cedidos tus datos sin tu consentimiento y sin que exista alguna excepción que justifique la cesión, puedes denunciar este hecho ante la Agencia Española de Protección de Datos, descargándote de su web un modelo de denuncia y enviándoselo completado y firmado.
Angela - Me gustaría conocer con datos, la situación del comercio electrónico en Andalucía, Gracias
Según el estudio “Las Tecnologías de la Información y las Comunicaciones en la empresa española 2010”, el ranking a nivel territorial lo encabeza Cataluña, donde el 45,6% de las empresas hacen uso del comercio electrónico. En segundo lugar, con un 44,9%, se encuentra el País Vasco, seguido de cerca por Andalucía (44,3%).
José M. - ¿Qué aspectos legales hemos de tener en cuenta a la hora de comenzar con un proyecto de comercio electrónico?
José M, las tiendas on-line deben cumplir las mismas garantías que cualquier tipo de tienda y unos requisitos adicionales que les marca la Ley de la Sociedad de la Información y del Comercio Electrónico (LSSI) y la Ley de Venta a Distancia, tales como la información general que debe tener obligatoriamente toda página web, como el nombre o denominación social del titular, CIF, domicilio, teléfono, si la empresa está registrada en el Registro Mercantil u otro Registro público similar, información sobre el precio de los productos que ofrece, los gastos de envío y si incluye o no los impuestos aplicables, así como incluir los códigos de conducta a los que esté adheridos e incluir una política de privacidad si tratan datos de carácter personal.
También se deberá cumplir las obligaciones de informar al comprador de los pasos que debe seguir para realizar la compra, si va a archivar el documento electrónico del contrato y si va ser accesible. previo al inicio de la contratación electrónica sobre la lengua o lenguas en las que se formaliza el contrato, permitir la posibilidad de corregir errores en la introducción de datos con anterioridad a la confirmación del pedido, poner a disposición del comprador las condiciones generales de contratación, confirmar la recepción de la aceptación bien por medio de un acuse de recibo por correo electrónico, o medio electrónico equivalente, en el plazo de las 24 horas siguientes a la recepción de la compra e informar al comprador que dispone de siete días para devolver sin coste alguno el producto comprado por Internet.
También es conveniente tener en cuenta la prohibición de comunicaciones publicitarias o promocionales por correo electrónico que el destinatario no las ha solicitado de manera previa y expresa.
Cumplir con la legislación vigente en materia de comercio electrónico constituye la mejor manera de generar confianza y seguridad entre los clientes, y esa es la clave para que los consumidores hagan uso de las ventajas que Internet les ofrece en la compra de productos y servicios.
Lola - ¿Qué papel juegan las redes sociales en un proyecto de comercio electrónico?
En los últimos tiempos las redes sociales están jugando un papel importante en el comercio electrónico, han demostrado que son un verdadero apoyo para los negocios, ya que muchas empresas se están aprovechando de su poder de conectividad para mejorar la productividad, la innovación, la colaboración y la implicación de los empleados, así como conocer las preferencias y gustos de sus clientes y procurarles una mejor atención.
Inés Martín - Hola Pedro, los profesionales no paran de decirnos que la red es segura, pero me preocupa bastante oir noticias de empresas aparentemente muy seguras a las que les roban los datos de sus usuario. ¿Cómo podemos actuar los afectados ante esto?. Gracias
Ines, la mayoría de las empresas son seguras pero no siempre está exenta de que puedan sufrir un robo de datos. Ante este hecho, lo mejor es denunciar ante la Agencia Española de Protección de Datos para que haga las investigaciones oportunas.
Rosa - ¿Que puedo hacer para dejar de recibir correos basura a traves de mi correo electronico? Me saturan diariamente la cuenta de correo con publicidad de empresas y servicios que no he solicitado. Gracias.
La LSSI en su artículo 21 prohíbe el envío de comunicaciones comerciales por medios electrónicos, ya sean correos, sms o análogos, si no se han solicitado previamente o se ha dado autorización expresa para ello. Tan sólo cabe la excepción del envío de estas comunicaciones a clientes presentes o pasados sobre productos o servicios similares a los que contrataron. Por tanto, siempre que recibamos estas comunicaciones y no lo hayamos solicitado o autorizado, y no seamos un cliente, se está infringiendo esta normativa, cuya sanción para el infractor, en caso de que sea una comunicación masiva, es de 150.000 a 300.000 euros. Por tanto, la mejor forma de actuar es denunciar a los emisores de estos correos ante la Agencia Española de Protección de Datos, que es el órgano encargado de sancionar estos comportamientos.
Perico - Los últimos informes que han publicado confirman que el comercio electrónico está en alza en nuestro país pero aún así sigue estando a mucha distancia del resto de Europa. En este sentido, se están tomando las medidas necesarias por parte de Administraciones e instituciones para disminuir esta brecha? y será posible alcanzar el nivel europeo a medio y largo plazo.
Los españoles se encuentran entre los europeos que más gastan de forma individual en compras a través de Internet, servicios postales o por teléfono, aunque recurren mucho menos que la media europea para adquirir productos y servicios a distancia
Si bien la penetración del comercio electrónico no ha sido alta en España lo cierto es que en los últimos años la influencia de Internet en el consumo se ha incrementado notablemente, aunque a diferencia con otros países Europeo está todavía por debajo de la media.
En Mercado Único Digital de ámbito europeo para los contenidos y el comercio electrónico se quieren eliminar obstáculos regulatorios, al mismo tiempo que se incentive el suministro y el acceso de una oferta legal de contenidos de alta calidad, y se respete la propiedad intelectual en Internet, simplificando la complejidad de las licencias transfronterizas. El estímulo del comercio electrónico transfronterizo se prevé que venga de la mano de la promoción, y adopción gubernamental, de sistemas interoperables de compras públicas electrónicas, de facturación electrónica y de pagos electrónicos, basados en tecnologías flexibles y abiertas.
Juan Manue - Hola Pedro, me gustaria saber que ventaja la creación de la Agencia Andaluza de Protección de Datos, y por contra que desventaja.
Juan Manuel, la creación de la Agencia Andaluza de Protección de Datos es todo ventajas, con la creación de la misma se formaría a las Administraciones y se trabajaría por una sensibilización y cultura de protección este derecho fundamental.
Actualmente las comunidades que tienen Agencias Autonómicas de protección de datos son Madrid, Cataluña y País Vasco, y estas tres el porcentaje de cumplimiento de la LOPD es altísimo.
Sin embargo, en Andalucía no disponemos de ella y son muchas las Administraciones que no cumplen el derecho de la protección de datos. La Asociación Andaluza de Comercio Electrónico (ANDCE), en el año 2003 presentó una propuesta de ley para la creación de la misma, pero el Parlamento andaluz entendió que no era el momento, quizás porque la mayoría de los ficheros de datos personales que tendría que vigilar serían los propios de la Junta de Andalucía. No obstante, en el Estatuto de Autonomía andaluz ya se menciona a la Agencia Andaluza de Protección de Datos.
S.J. - Estimado Pedro, me gustaría saber sobre que tendríamos que hacer legalmente para poner en marcha en los vehículos de la empresa y de uso exclusivo para el trabajo, un sistema GPS/GPRS de localización de flota, que lleva un registro hitórico/perpetuo desde que el coche se pone en marcha, de todo el recorrido, tiempo y paradas, velocidades, la finalidad de esto, es para mejorar la calidad de nuestro servicio, controlar que los trabajadores/conductores cumplen con sus horarios y obligaciones laborales, además que entendemos que es una herramienta que reduce los recorridos pues estos serán óptimos, por que reducirá el consumo de combustible, el tiempo que de circulación, por tanto averías y accidentes, mejorando nuestro plan de prevención de riesgos laborales, también es una sistema que ayudaría a encontrar un vehículo robado ¿que deberíamos de hacer para no tener problemas con los empleados?
En primer lugar es preciso indicar que para tratar los datos señalados resulta necesario cumplir con lo dispuesto en el artículo 6.1 de la LOPD que establece que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.
Por tanto es necesario acudir a las normas que legitimen el tratamiento de los datos, además de tener en cuenta el Reglamento Comunitario y por supuesto no podemos dejar de mencionar que en ámbito laboral el Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo de 24 de Octubre de 1995, otorga los poderes de Dirección del empresario y es en ese articulado, podemos encontrar la oportuna legitimación.
El artículo 20.3 del Estatuto de los Trabajadores (ET) dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.
No obstante, la existencia de esta legitimación no excluye el cumplimiento del deber de informar, por parte del empresario previsto en el artículo 5.1 de la LOPD señalando que “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante”.
Alberto Duendes - Me han cargado en mi tarjeta unos conceptos que no se que son y el banco dice que no puede hacer nada. ¿Qué puedo hacer?
Alberto, ante esta situaciones, la Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista nos protege, ya que respecto al pago mediante tarjeta, establece en su artículo 46 que cuando el importe de una compra hubiese sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, su titular podrá exigir la inmediata anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuentas del proveedor y del titular se efectuarán a la mayor brevedad.
Maria R. - He denunciado a una empresa ante la Agencia Española de Proteccion de Datos porque ha vulnerado mi derecho, puedo pedir una indemnización por daños y perjuicios? Gracias
Efectivamente María, si se vulnera tu derecho a la protección de datos surge un derecho de indemnización hacia ti por los daños y perjuicios que te hubieran ocasionado, pero la vía para obtenerlo no sería ante la Agencia Española de Protección de Datos, sino la de los tribunales ordinarios o la de intentar someterte a una mediación como la que disponemos en la Comisión de Protección de Datos en Andalucía.
Marina - Puedo enviar publicicidad a las empresas que ponen sus correos electrónicos en páginas de internet?
Las comunicaciones publicitarias o promocionales por correo electrónico, tienen que ser previamente solicitadas o expresamente autorizadas por los destinatarios de las mismas, si no se da estos dos casos están totalmente prohibidas. Ahora bien, existe una excepción y es que exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
La publicación de las direcciones electrónicas, las empresas las publican para que se puedan contactar con ellos respecto a los servicios que tengan en su web pero no para recibir publicidad de servicios que no han solicitado previamente.
Alberto R. - ¿Se pueden manejar los datos personales de un fichero de personal para realizar a los trabajadores una encuesta sobre la preferencia de las vacaciones?
No sin el consentimiento de los trabajadores, y ha de tenerse en cuenta que el artículo 4 de la LOPD indica que solo se podrán recoger datos de carácter personal que sean estrictamente necesarios para la finalidad del tratamiento al que se les va a someter.
Fuente: Cibersur
Fecha: 14/06/2011
Asimismo, el responsable de la patronal del comercio electrónico andaluz, se ha referido al inminente Mercado Único Digital, un nuevo marco menos regulado donde los gobiernos tendrán que adoptar "sistemas interoperables de compras públicas electrónicas, de facturación electrónica y de pagos electrónicos, basados en tecnologías flexibles y abiertas".
El papel de las redes sociales también ha entrado de lleno en este Encuentro Digital, y Pedro Rodríguez ha aclarado que ha ayudado a las empresas de e-commerce a "mejorar la productividad, la innovación, la colaboración y la implicación de los empleados, así como conocer las preferencias y gustos de sus clientes y procurarles una mejor atención".
Sin duda este encuentro digital se ha caracterizado por las dudas de los lectores y usuarios de Cibersur, en torno a la protección de datos, recibiendo el Presidente de ANDCE bastantes preguntas sobre casos personales, hecho que demuestra las carencias que existen todavía en esta materia, en nuestro país.
ENCUENTRO DIGITAL
Laura Martín - Hola. Quería consultarle su valoración respecto a cómo están tratando las empresas andaluzas el tema de la protección de datos. ¿Nos podemos sentir protegidos los andaluces realmente?
Los últimos datos publicados en la Memoria 2010 de la AEPD demuestran que en Andalucía cada vez hay una mayor concienciación en materia de protección de datos, ello se ve en el crecimiento de denuncias en nuestra comunidad, que en 2010 han sido 582.
También se ve claramente en el dato del aumento del número de ficheros inscritos en el Registro General de Protección de Datos, que antes muchas empresas no realizaban por el propio desconocimiento de esta normativa. En el 2010 se ha producido un incremento del 29,31% en Andalucía respecto al 2009, situándose actualmente la cifra en 94.452 ficheros privados inscritos.
Nacho - Si quisiera poner una reclamación a una empresa que ha dado mis datos a otras empresas, sin mi consentimiento, ¿qué protocolo tengo que seguir? Gracias
Nacho, si efectivamente se han cedidos tus datos sin tu consentimiento y sin que exista alguna excepción que justifique la cesión, puedes denunciar este hecho ante la Agencia Española de Protección de Datos, descargándote de su web un modelo de denuncia y enviándoselo completado y firmado.
Angela - Me gustaría conocer con datos, la situación del comercio electrónico en Andalucía, Gracias
Según el estudio “Las Tecnologías de la Información y las Comunicaciones en la empresa española 2010”, el ranking a nivel territorial lo encabeza Cataluña, donde el 45,6% de las empresas hacen uso del comercio electrónico. En segundo lugar, con un 44,9%, se encuentra el País Vasco, seguido de cerca por Andalucía (44,3%).
José M. - ¿Qué aspectos legales hemos de tener en cuenta a la hora de comenzar con un proyecto de comercio electrónico?
José M, las tiendas on-line deben cumplir las mismas garantías que cualquier tipo de tienda y unos requisitos adicionales que les marca la Ley de la Sociedad de la Información y del Comercio Electrónico (LSSI) y la Ley de Venta a Distancia, tales como la información general que debe tener obligatoriamente toda página web, como el nombre o denominación social del titular, CIF, domicilio, teléfono, si la empresa está registrada en el Registro Mercantil u otro Registro público similar, información sobre el precio de los productos que ofrece, los gastos de envío y si incluye o no los impuestos aplicables, así como incluir los códigos de conducta a los que esté adheridos e incluir una política de privacidad si tratan datos de carácter personal.
También se deberá cumplir las obligaciones de informar al comprador de los pasos que debe seguir para realizar la compra, si va a archivar el documento electrónico del contrato y si va ser accesible. previo al inicio de la contratación electrónica sobre la lengua o lenguas en las que se formaliza el contrato, permitir la posibilidad de corregir errores en la introducción de datos con anterioridad a la confirmación del pedido, poner a disposición del comprador las condiciones generales de contratación, confirmar la recepción de la aceptación bien por medio de un acuse de recibo por correo electrónico, o medio electrónico equivalente, en el plazo de las 24 horas siguientes a la recepción de la compra e informar al comprador que dispone de siete días para devolver sin coste alguno el producto comprado por Internet.
También es conveniente tener en cuenta la prohibición de comunicaciones publicitarias o promocionales por correo electrónico que el destinatario no las ha solicitado de manera previa y expresa.
Cumplir con la legislación vigente en materia de comercio electrónico constituye la mejor manera de generar confianza y seguridad entre los clientes, y esa es la clave para que los consumidores hagan uso de las ventajas que Internet les ofrece en la compra de productos y servicios.
Lola - ¿Qué papel juegan las redes sociales en un proyecto de comercio electrónico?
En los últimos tiempos las redes sociales están jugando un papel importante en el comercio electrónico, han demostrado que son un verdadero apoyo para los negocios, ya que muchas empresas se están aprovechando de su poder de conectividad para mejorar la productividad, la innovación, la colaboración y la implicación de los empleados, así como conocer las preferencias y gustos de sus clientes y procurarles una mejor atención.
Inés Martín - Hola Pedro, los profesionales no paran de decirnos que la red es segura, pero me preocupa bastante oir noticias de empresas aparentemente muy seguras a las que les roban los datos de sus usuario. ¿Cómo podemos actuar los afectados ante esto?. Gracias
Ines, la mayoría de las empresas son seguras pero no siempre está exenta de que puedan sufrir un robo de datos. Ante este hecho, lo mejor es denunciar ante la Agencia Española de Protección de Datos para que haga las investigaciones oportunas.
Rosa - ¿Que puedo hacer para dejar de recibir correos basura a traves de mi correo electronico? Me saturan diariamente la cuenta de correo con publicidad de empresas y servicios que no he solicitado. Gracias.
La LSSI en su artículo 21 prohíbe el envío de comunicaciones comerciales por medios electrónicos, ya sean correos, sms o análogos, si no se han solicitado previamente o se ha dado autorización expresa para ello. Tan sólo cabe la excepción del envío de estas comunicaciones a clientes presentes o pasados sobre productos o servicios similares a los que contrataron. Por tanto, siempre que recibamos estas comunicaciones y no lo hayamos solicitado o autorizado, y no seamos un cliente, se está infringiendo esta normativa, cuya sanción para el infractor, en caso de que sea una comunicación masiva, es de 150.000 a 300.000 euros. Por tanto, la mejor forma de actuar es denunciar a los emisores de estos correos ante la Agencia Española de Protección de Datos, que es el órgano encargado de sancionar estos comportamientos.
Perico - Los últimos informes que han publicado confirman que el comercio electrónico está en alza en nuestro país pero aún así sigue estando a mucha distancia del resto de Europa. En este sentido, se están tomando las medidas necesarias por parte de Administraciones e instituciones para disminuir esta brecha? y será posible alcanzar el nivel europeo a medio y largo plazo.
Los españoles se encuentran entre los europeos que más gastan de forma individual en compras a través de Internet, servicios postales o por teléfono, aunque recurren mucho menos que la media europea para adquirir productos y servicios a distancia
Si bien la penetración del comercio electrónico no ha sido alta en España lo cierto es que en los últimos años la influencia de Internet en el consumo se ha incrementado notablemente, aunque a diferencia con otros países Europeo está todavía por debajo de la media.
En Mercado Único Digital de ámbito europeo para los contenidos y el comercio electrónico se quieren eliminar obstáculos regulatorios, al mismo tiempo que se incentive el suministro y el acceso de una oferta legal de contenidos de alta calidad, y se respete la propiedad intelectual en Internet, simplificando la complejidad de las licencias transfronterizas. El estímulo del comercio electrónico transfronterizo se prevé que venga de la mano de la promoción, y adopción gubernamental, de sistemas interoperables de compras públicas electrónicas, de facturación electrónica y de pagos electrónicos, basados en tecnologías flexibles y abiertas.
Juan Manue - Hola Pedro, me gustaria saber que ventaja la creación de la Agencia Andaluza de Protección de Datos, y por contra que desventaja.
Juan Manuel, la creación de la Agencia Andaluza de Protección de Datos es todo ventajas, con la creación de la misma se formaría a las Administraciones y se trabajaría por una sensibilización y cultura de protección este derecho fundamental.
Actualmente las comunidades que tienen Agencias Autonómicas de protección de datos son Madrid, Cataluña y País Vasco, y estas tres el porcentaje de cumplimiento de la LOPD es altísimo.
Sin embargo, en Andalucía no disponemos de ella y son muchas las Administraciones que no cumplen el derecho de la protección de datos. La Asociación Andaluza de Comercio Electrónico (ANDCE), en el año 2003 presentó una propuesta de ley para la creación de la misma, pero el Parlamento andaluz entendió que no era el momento, quizás porque la mayoría de los ficheros de datos personales que tendría que vigilar serían los propios de la Junta de Andalucía. No obstante, en el Estatuto de Autonomía andaluz ya se menciona a la Agencia Andaluza de Protección de Datos.
S.J. - Estimado Pedro, me gustaría saber sobre que tendríamos que hacer legalmente para poner en marcha en los vehículos de la empresa y de uso exclusivo para el trabajo, un sistema GPS/GPRS de localización de flota, que lleva un registro hitórico/perpetuo desde que el coche se pone en marcha, de todo el recorrido, tiempo y paradas, velocidades, la finalidad de esto, es para mejorar la calidad de nuestro servicio, controlar que los trabajadores/conductores cumplen con sus horarios y obligaciones laborales, además que entendemos que es una herramienta que reduce los recorridos pues estos serán óptimos, por que reducirá el consumo de combustible, el tiempo que de circulación, por tanto averías y accidentes, mejorando nuestro plan de prevención de riesgos laborales, también es una sistema que ayudaría a encontrar un vehículo robado ¿que deberíamos de hacer para no tener problemas con los empleados?
En primer lugar es preciso indicar que para tratar los datos señalados resulta necesario cumplir con lo dispuesto en el artículo 6.1 de la LOPD que establece que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.
Por tanto es necesario acudir a las normas que legitimen el tratamiento de los datos, además de tener en cuenta el Reglamento Comunitario y por supuesto no podemos dejar de mencionar que en ámbito laboral el Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo de 24 de Octubre de 1995, otorga los poderes de Dirección del empresario y es en ese articulado, podemos encontrar la oportuna legitimación.
El artículo 20.3 del Estatuto de los Trabajadores (ET) dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.
No obstante, la existencia de esta legitimación no excluye el cumplimiento del deber de informar, por parte del empresario previsto en el artículo 5.1 de la LOPD señalando que “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante”.
Alberto Duendes - Me han cargado en mi tarjeta unos conceptos que no se que son y el banco dice que no puede hacer nada. ¿Qué puedo hacer?
Alberto, ante esta situaciones, la Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista nos protege, ya que respecto al pago mediante tarjeta, establece en su artículo 46 que cuando el importe de una compra hubiese sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, su titular podrá exigir la inmediata anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuentas del proveedor y del titular se efectuarán a la mayor brevedad.
Maria R. - He denunciado a una empresa ante la Agencia Española de Proteccion de Datos porque ha vulnerado mi derecho, puedo pedir una indemnización por daños y perjuicios? Gracias
Efectivamente María, si se vulnera tu derecho a la protección de datos surge un derecho de indemnización hacia ti por los daños y perjuicios que te hubieran ocasionado, pero la vía para obtenerlo no sería ante la Agencia Española de Protección de Datos, sino la de los tribunales ordinarios o la de intentar someterte a una mediación como la que disponemos en la Comisión de Protección de Datos en Andalucía.
Marina - Puedo enviar publicicidad a las empresas que ponen sus correos electrónicos en páginas de internet?
Las comunicaciones publicitarias o promocionales por correo electrónico, tienen que ser previamente solicitadas o expresamente autorizadas por los destinatarios de las mismas, si no se da estos dos casos están totalmente prohibidas. Ahora bien, existe una excepción y es que exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
La publicación de las direcciones electrónicas, las empresas las publican para que se puedan contactar con ellos respecto a los servicios que tengan en su web pero no para recibir publicidad de servicios que no han solicitado previamente.
Alberto R. - ¿Se pueden manejar los datos personales de un fichero de personal para realizar a los trabajadores una encuesta sobre la preferencia de las vacaciones?
No sin el consentimiento de los trabajadores, y ha de tenerse en cuenta que el artículo 4 de la LOPD indica que solo se podrán recoger datos de carácter personal que sean estrictamente necesarios para la finalidad del tratamiento al que se les va a someter.
Fuente: Cibersur
Fecha: 14/06/2011
Roban los datos de miles de usuarios de Citibank y del INTECO
Parece que el robo de datos está sonando últimamente más de lo que a todos nos gustaría, y en muchos casos los datos a los que se accede son muy importantes tanto a nivel personal como financiero. Después del sonado y reiterado caso de Sony en la pérdida de datos esta semana nos hemos enterado del robo de datos de miles de usuarios de Citibank y del INTECO.
Ambas entidades deberían ser ejemplo de seguridad y protección de datos debido a la actividad en la que ejercen sus labores, el financiero por parte de Citibank y el de la seguridad por parte del INTECO. Si bien las medidas que tenían se han mostrado ineficaces para evitar el desastre. En el caso de Citibank afectan a más de 200.000 usuarios en Estados Unidos según la agencia Reuters.
En el caso del INTECO el impacto es más reducido, como consecuencia lógica de la diferente dimensión de ambas entidades. Afecta a unos 20.000 usuarios. La diferencia entre la importancia de los datos recogidos en uno y otro caso son más que notorias, ya que comprometen nuestra intimidad y en el caso del banco nuestro patrimonio. En ambos casos supondrá una pérdida de confianza por parte de los usuarios hacia dichas entidades.
Clientes o usuario, diferentes estrategias de comunicación
Parece que no es lo mismo ser un cliente de una entidad bancaria, con la cual seguramente tendremos algún vínculo contractual que hará complicado que cerremos nuestra cuenta y nos cambiemos de entidad que un usuario de una web como la de INTECO, donde la confianza es primordial. En el segundo caso, si el usuario sigue desconfiando de que la brecha no se ha cerrado o le han ocultado información no seguirá visitando esta página ni confiando en esta entidad.
Más que el hecho del robo en sí mismo, me interesa destacar las distintas reacciones que podemos ver en ambas entidades. Mientras si entramos a la página de Citigroup no encontramos reseñas o detalles de esta cuestión, no hay comunicados de prensa oficiales, o por lo menos yo no he sido capaz de encontrarlos, el INTECO ha optado por una política de transparencia. En su página principal tenemos una cronología de cómo conocieron los hechos y la reacción posterior.
Además informan con detalle de los datos robados y su catalogación por la LOPD como datos básicos, en este caso no se han sustraído ni el dato del correo electrónico del usuario, ni su número de DNI, lo que minimiza los riesgos financieros y sitúan el robo más en un ámbito de pérdida de intimidad que de peligro de pérdida de patrimonio. Todo esto acompañado del envío de un comunicado por correo electrónico informando a los usuarios afectados de todo el asunto.
El tiempo de reacción es básico en estos casos
Esto por no hablar de las diferencias en los tiempos de reacción. La brecha de Citibank fue descubierta en una inspección rutinaria a principios de Mayo. El banco se puso manos a la obra para ver el impacto que tenía en las cuentas de los clientes afectados pero mientras tanto guardó silencio. No hizo pública la brecha ni el problema ocurrido. En INTECO la claridad de la información ha sido un ejemplo de transparencia.
Si yo fuera usuario de Citibank y los datos de mi tarjeta estuvieran comprometidos me sentiría doblemente engañado. En primer lugar porque una entidad financiera no puede permitirse estos problemas. Y en segundo lugar porque no es lo más adecuado enterase por el periódico de que los nombres, números de cuenta e información de contacto están en poder de quien nunca debería tenerlos, lo que sin duda facilita ataques concretos muy dirigidos a obtener el resto de datos que faltan para completar el puzzle.
Los usuarios de Citibank han estado expuestos a la posibilidad de ataques de este tipo sin que sean conscientes del robo de datos y por lo tanto no estaban prevenidos. De nada sirve que el banco haya hecho los deberes para tapar el agujero de seguridad. Una situación así sólo se salva emitiendo tarjetas nuevas ya para los usuarios afectados.
No se lo que pensaréis vosotros pero en este caso parece que las dos entidades salen mal paradas en su imagen. La diferencia es que mientras Citibank trata de actuar como si nada hubiese ocurrido, en lo que respecta su comunicación corporativa, el INTECO mete luz y taquígrafos para facilitar a todos los usuarios toda la información al respecto. Para mi todo un ejemplo de como actuar con transparencia ante un problema de seguridad que afectan a los usuarios.
Fuente: Genbeta
Fecha: 10/06/2011
Ambas entidades deberían ser ejemplo de seguridad y protección de datos debido a la actividad en la que ejercen sus labores, el financiero por parte de Citibank y el de la seguridad por parte del INTECO. Si bien las medidas que tenían se han mostrado ineficaces para evitar el desastre. En el caso de Citibank afectan a más de 200.000 usuarios en Estados Unidos según la agencia Reuters.
En el caso del INTECO el impacto es más reducido, como consecuencia lógica de la diferente dimensión de ambas entidades. Afecta a unos 20.000 usuarios. La diferencia entre la importancia de los datos recogidos en uno y otro caso son más que notorias, ya que comprometen nuestra intimidad y en el caso del banco nuestro patrimonio. En ambos casos supondrá una pérdida de confianza por parte de los usuarios hacia dichas entidades.
Clientes o usuario, diferentes estrategias de comunicación
Parece que no es lo mismo ser un cliente de una entidad bancaria, con la cual seguramente tendremos algún vínculo contractual que hará complicado que cerremos nuestra cuenta y nos cambiemos de entidad que un usuario de una web como la de INTECO, donde la confianza es primordial. En el segundo caso, si el usuario sigue desconfiando de que la brecha no se ha cerrado o le han ocultado información no seguirá visitando esta página ni confiando en esta entidad.
Más que el hecho del robo en sí mismo, me interesa destacar las distintas reacciones que podemos ver en ambas entidades. Mientras si entramos a la página de Citigroup no encontramos reseñas o detalles de esta cuestión, no hay comunicados de prensa oficiales, o por lo menos yo no he sido capaz de encontrarlos, el INTECO ha optado por una política de transparencia. En su página principal tenemos una cronología de cómo conocieron los hechos y la reacción posterior.
Además informan con detalle de los datos robados y su catalogación por la LOPD como datos básicos, en este caso no se han sustraído ni el dato del correo electrónico del usuario, ni su número de DNI, lo que minimiza los riesgos financieros y sitúan el robo más en un ámbito de pérdida de intimidad que de peligro de pérdida de patrimonio. Todo esto acompañado del envío de un comunicado por correo electrónico informando a los usuarios afectados de todo el asunto.
El tiempo de reacción es básico en estos casos
Esto por no hablar de las diferencias en los tiempos de reacción. La brecha de Citibank fue descubierta en una inspección rutinaria a principios de Mayo. El banco se puso manos a la obra para ver el impacto que tenía en las cuentas de los clientes afectados pero mientras tanto guardó silencio. No hizo pública la brecha ni el problema ocurrido. En INTECO la claridad de la información ha sido un ejemplo de transparencia.
Si yo fuera usuario de Citibank y los datos de mi tarjeta estuvieran comprometidos me sentiría doblemente engañado. En primer lugar porque una entidad financiera no puede permitirse estos problemas. Y en segundo lugar porque no es lo más adecuado enterase por el periódico de que los nombres, números de cuenta e información de contacto están en poder de quien nunca debería tenerlos, lo que sin duda facilita ataques concretos muy dirigidos a obtener el resto de datos que faltan para completar el puzzle.
Los usuarios de Citibank han estado expuestos a la posibilidad de ataques de este tipo sin que sean conscientes del robo de datos y por lo tanto no estaban prevenidos. De nada sirve que el banco haya hecho los deberes para tapar el agujero de seguridad. Una situación así sólo se salva emitiendo tarjetas nuevas ya para los usuarios afectados.
No se lo que pensaréis vosotros pero en este caso parece que las dos entidades salen mal paradas en su imagen. La diferencia es que mientras Citibank trata de actuar como si nada hubiese ocurrido, en lo que respecta su comunicación corporativa, el INTECO mete luz y taquígrafos para facilitar a todos los usuarios toda la información al respecto. Para mi todo un ejemplo de como actuar con transparencia ante un problema de seguridad que afectan a los usuarios.
Fuente: Genbeta
Fecha: 10/06/2011
Los datos robados en INTECO eran de nivel básico
INTECO ha explicado el alcance del ataque informático sufrido por la entidad el pasado fin de semana, que supuso la filtración de más de 20.000 datos personales de su plataforma de formación online. Asimismo, ha detallado su proceso de actuación ante este robo de información.
Víctor Izquierdo, director general de INTECO (Instituto Nacional de Tecnologías de la Comunicación) insistió, durante su intervención ante los medios para explicar el robo de información del que fue víctima el organismo, en que solo una pequeña parte de los servicios del Instituto se vieron afectados por el ataque informático y que los datos sustraídos de la plataforma de formación online –correspondientes a 20.258 usuarios- son de “nivel básico”, de acuerdo a la terminología empleada en la LOPD. Estos datos corresponden a nombre y apellidos, teléfono, dirección postal, sexo y fecha de nacimiento, pero, en ningún caso, información bancaria como números de cuentas o tarjetas, ni el correo electrónico o DNI.
Según Izquierdo, fueron distintas empresas de seguridad de la información y CERTs quienes alertaron a INTECO de la brecha en la mañana del 6 de junio. Pocos minutos después se activó el protocolo interno de respuesta a incidentes y se cortó la conexión de la plataforma de formación online, objetivo de los hackers, con el mundo exterior.
El siguiente paso de INTECO fue informar y solicitar a la asociación Confianza Online de que retiraran de su página web un texto y una muestra de la base de datos robada publicados por el atacante. Una vez denunciado el incidente ante la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional, INTECO se puso en contacto con el US-CERT para la retirada de la base de datos alojada en el servidor norteamericano MediaFire y con Google para que eliminara del caché las copias del contenido robado.
Según explica INTECO, posteriormente se iniciaron los trabajos del análisis forense sobre una copia espejo de la plataforma afectada, poniendo en conocimiento de la Agencia Española de Protección de Datos (AEPD) los hechos, que ha abierto su propia investigación. Al mismo tiempo, el Instituto Nacional de Tecnologías de la Información dio a conocer el incidente mediante su página web y las redes sociales y contactó con cada uno de los usuarios de la plataforma de formación en línea afectados por email, informándoles del robo de datos sufrido y ofreciéndoles pautas de actuación para minimizar los riesgos.
Víctor Izquierdo asegura que mientras no concluyan el análisis forense y las investigaciones policiales, no es prudente especular sobre la autoría del robo de datos. Por otra parte, considera que “si se pretendía perjudicar al Instituto, la divulgación en la Red de los datos personales de ciudadanos era un daño innecesario”. Una vez finalizadas las investigaciones, el Instituto reiniciará su servicio de formación online con normalidad en una nueva plataforma con mayores medidas de seguridad.
Autor: IDG.es
Fecha: 09/06/2011
Víctor Izquierdo, director general de INTECO (Instituto Nacional de Tecnologías de la Comunicación) insistió, durante su intervención ante los medios para explicar el robo de información del que fue víctima el organismo, en que solo una pequeña parte de los servicios del Instituto se vieron afectados por el ataque informático y que los datos sustraídos de la plataforma de formación online –correspondientes a 20.258 usuarios- son de “nivel básico”, de acuerdo a la terminología empleada en la LOPD. Estos datos corresponden a nombre y apellidos, teléfono, dirección postal, sexo y fecha de nacimiento, pero, en ningún caso, información bancaria como números de cuentas o tarjetas, ni el correo electrónico o DNI.
Según Izquierdo, fueron distintas empresas de seguridad de la información y CERTs quienes alertaron a INTECO de la brecha en la mañana del 6 de junio. Pocos minutos después se activó el protocolo interno de respuesta a incidentes y se cortó la conexión de la plataforma de formación online, objetivo de los hackers, con el mundo exterior.
El siguiente paso de INTECO fue informar y solicitar a la asociación Confianza Online de que retiraran de su página web un texto y una muestra de la base de datos robada publicados por el atacante. Una vez denunciado el incidente ante la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional, INTECO se puso en contacto con el US-CERT para la retirada de la base de datos alojada en el servidor norteamericano MediaFire y con Google para que eliminara del caché las copias del contenido robado.
Según explica INTECO, posteriormente se iniciaron los trabajos del análisis forense sobre una copia espejo de la plataforma afectada, poniendo en conocimiento de la Agencia Española de Protección de Datos (AEPD) los hechos, que ha abierto su propia investigación. Al mismo tiempo, el Instituto Nacional de Tecnologías de la Información dio a conocer el incidente mediante su página web y las redes sociales y contactó con cada uno de los usuarios de la plataforma de formación en línea afectados por email, informándoles del robo de datos sufrido y ofreciéndoles pautas de actuación para minimizar los riesgos.
Víctor Izquierdo asegura que mientras no concluyan el análisis forense y las investigaciones policiales, no es prudente especular sobre la autoría del robo de datos. Por otra parte, considera que “si se pretendía perjudicar al Instituto, la divulgación en la Red de los datos personales de ciudadanos era un daño innecesario”. Una vez finalizadas las investigaciones, el Instituto reiniciará su servicio de formación online con normalidad en una nueva plataforma con mayores medidas de seguridad.
Autor: IDG.es
Fecha: 09/06/2011
El INTECO quita hierro al robo de sus datos
El robo de los datos personales de más de 20.000 personas que hicieron un curso online en el INTENCO parece un asunto de poca importancia, según las explicaciones del director general del Instituto Nacional de Tecnologías de la Comunicación, Víctor Izquierdo.
El director general del Instituto Nacional de Tecnologías de la Comunicación (INTECO), Víctor Izquierdo, compareció ayer públicamente para dar explicaciones del robo de datos de mas de 20.000 personas que hace dos años hicieron un cuirso online, y explicar el alcance de los daños y la cronología de los hechos.
Izquierdo lamentó lo sucedido y, entendiendo la inquietud de los usuarios, puso al Instituto a su disposición para informarles y ayudarles, así como para defender sus intereses en la misma medida que los de la entidad. También aseguró que mientras no concluyan el análisis forense y las investigaciones policiales, no es prudente especular sobre la autoría del delito robo de datos.
INTECO pide a ciudadanos, empresas y administraciones que sigan confiando en el Instituto y sus servicios, precisamente porque este incidente ha demostrado su capacidad de reacción inmediata y el buen funcionamiento de sus protocolos de gestión de incidencias de seguridad, así como la transparencia y honestidad en todas sus actuaciones.
El Instituto considera que hechos como este precisamente justifican aún más su existencia y actividad en el campo de la seguridad, y recuerda que aunque el riesgo cero es inalcanzable permite a INTECO seguir avanzando en un proceso de mejora continua y minimización de los riesgos.
Sobre el alcance de los daños, el director general recordó que “las víctimas de la actividad delictiva son tanto INTECO como los 20.258 usuarios que estaban dados de alta en su plataforma de formación en línea”, que representa una pequeña parte de los servicios que ofrece el organismo, no viéndose en ningún caso comprometidos el resto de servicios.
Sólo se sustrajeron datos personales "de nivel básico", según la terminología de la Ley Orgánica de Protección de Datos de carácter personal (LOPD): nombres y apellidos, teléfonos, dirección postal, sexo y fecha de nacimiento, Los atacantes no tuvieron acceso ni al correo electrónico del usuario ni a su DNI, y tampoco a daots económicos, (números de cuentas corrientes, tarjetas de crédito, etc.), ya que no se solicitan en el registro en la plataforma.
Fuente: Baquia
Fecha: 09/06/2011
El director general del Instituto Nacional de Tecnologías de la Comunicación (INTECO), Víctor Izquierdo, compareció ayer públicamente para dar explicaciones del robo de datos de mas de 20.000 personas que hace dos años hicieron un cuirso online, y explicar el alcance de los daños y la cronología de los hechos.
Izquierdo lamentó lo sucedido y, entendiendo la inquietud de los usuarios, puso al Instituto a su disposición para informarles y ayudarles, así como para defender sus intereses en la misma medida que los de la entidad. También aseguró que mientras no concluyan el análisis forense y las investigaciones policiales, no es prudente especular sobre la autoría del delito robo de datos.
INTECO pide a ciudadanos, empresas y administraciones que sigan confiando en el Instituto y sus servicios, precisamente porque este incidente ha demostrado su capacidad de reacción inmediata y el buen funcionamiento de sus protocolos de gestión de incidencias de seguridad, así como la transparencia y honestidad en todas sus actuaciones.
El Instituto considera que hechos como este precisamente justifican aún más su existencia y actividad en el campo de la seguridad, y recuerda que aunque el riesgo cero es inalcanzable permite a INTECO seguir avanzando en un proceso de mejora continua y minimización de los riesgos.
Sobre el alcance de los daños, el director general recordó que “las víctimas de la actividad delictiva son tanto INTECO como los 20.258 usuarios que estaban dados de alta en su plataforma de formación en línea”, que representa una pequeña parte de los servicios que ofrece el organismo, no viéndose en ningún caso comprometidos el resto de servicios.
Sólo se sustrajeron datos personales "de nivel básico", según la terminología de la Ley Orgánica de Protección de Datos de carácter personal (LOPD): nombres y apellidos, teléfonos, dirección postal, sexo y fecha de nacimiento, Los atacantes no tuvieron acceso ni al correo electrónico del usuario ni a su DNI, y tampoco a daots económicos, (números de cuentas corrientes, tarjetas de crédito, etc.), ya que no se solicitan en el registro en la plataforma.
Fuente: Baquia
Fecha: 09/06/2011
Agencia de Protección de Datos condena al Ayuntamiento de Coslada por revelar datos personales de un delegado de CSI-F
La Agencia de Protección de Datos de la Comunidad de Madrid ha condenado al Ayuntamiento de Coslada por una infracción "muy grave" a la Ley Orgánica de Protección de Datos (LOPD) por haber revelado datos de carácter personal de un delegado de CSI-F en el municipio al exjefe de la Policía Local Ginés Jiménez.
Según la resolución, fechada el 1 de junio y a la que ha tenido acceso Europa Press, el Gobierno municipal trasladó a Jiménez un expediente administrativo en el que se incluían datos personales (tales como información médica) del funcionario cabo de la Policía Local y delegado de CSI-F Juan José A.P.
El traslado de este expediente se realizó en el marco de una denuncia que el delegado sindical interpuso contra el Consistorio por daños patrimoniales. El Ejecutivo local alegó que este caso entraba dentro de las excepciones reconocidas por la normativa, ya que el exjefe de la Policía era "parte con derechos e intereses legítimos" en el proceso.
Sin embargo, la Agencia recuerda que, "tras los emplazamientos, es el juzgado quien facilita el expediente recibido y admitido a trámite del recurrente para que plantee la demanda" y que, una vez cumplido este proceso, "se establece el traslado del expediente y de la demanda a los demandados que hubieran comparecido o se hubieran personado para que contesten a la demanda".
Así, la Agencia de Protección de Datos considera que el Ayuntamiento cosladeño conculcó la legalidad, ya que ni existía el "consentimiento expreso" de Juan José A.P. para ceder esos datos, ni "concurría ninguna de las excepciones" reconocidas por la Ley Reguladora de la Jurisdicción Contencioso-Administrativa (LRJCA), ya que esta normativa estipula que "es el secretario judicial quien, en su caso, decidirá facilitar el expediente a los debidamente emplazados y personados en el recurso".
De esta manera, el envío del expediente a Ginés Jiménez fue "improcedente", ya que la Administración local no es la encargada de trasladar los expedientes en este tipo de casos, decisión que supone una "infracción muy grave" de la LOPD y que podría ser sancionada con entre 300.000 y 600.000 euros.
Contra esta resolución se puede interponer potestativamente recurso de reposición ante el director de la Agencia, Santiago Abascal, en el plazo de un mes a contar desde el día siguiente a la notificación de la resolución, o directamente un recurso contencioso administrativo ante los juzgados competentes.
El sindicato CSI-F se ha congratulado en un comunicado de esta resolución judicial, al considerar que la Ginés Jiménez utilizó el expediente "con el fin de causar perjuicios al funcionario" y ha reclamado responsabilidades políticas. "Ya está bien de tirar con pólvora ajena y no tener responsabilidades personales", ha señalado.
Fuente: QUE
Fecha: 08/06/2011
Según la resolución, fechada el 1 de junio y a la que ha tenido acceso Europa Press, el Gobierno municipal trasladó a Jiménez un expediente administrativo en el que se incluían datos personales (tales como información médica) del funcionario cabo de la Policía Local y delegado de CSI-F Juan José A.P.
El traslado de este expediente se realizó en el marco de una denuncia que el delegado sindical interpuso contra el Consistorio por daños patrimoniales. El Ejecutivo local alegó que este caso entraba dentro de las excepciones reconocidas por la normativa, ya que el exjefe de la Policía era "parte con derechos e intereses legítimos" en el proceso.
Sin embargo, la Agencia recuerda que, "tras los emplazamientos, es el juzgado quien facilita el expediente recibido y admitido a trámite del recurrente para que plantee la demanda" y que, una vez cumplido este proceso, "se establece el traslado del expediente y de la demanda a los demandados que hubieran comparecido o se hubieran personado para que contesten a la demanda".
Así, la Agencia de Protección de Datos considera que el Ayuntamiento cosladeño conculcó la legalidad, ya que ni existía el "consentimiento expreso" de Juan José A.P. para ceder esos datos, ni "concurría ninguna de las excepciones" reconocidas por la Ley Reguladora de la Jurisdicción Contencioso-Administrativa (LRJCA), ya que esta normativa estipula que "es el secretario judicial quien, en su caso, decidirá facilitar el expediente a los debidamente emplazados y personados en el recurso".
De esta manera, el envío del expediente a Ginés Jiménez fue "improcedente", ya que la Administración local no es la encargada de trasladar los expedientes en este tipo de casos, decisión que supone una "infracción muy grave" de la LOPD y que podría ser sancionada con entre 300.000 y 600.000 euros.
Contra esta resolución se puede interponer potestativamente recurso de reposición ante el director de la Agencia, Santiago Abascal, en el plazo de un mes a contar desde el día siguiente a la notificación de la resolución, o directamente un recurso contencioso administrativo ante los juzgados competentes.
El sindicato CSI-F se ha congratulado en un comunicado de esta resolución judicial, al considerar que la Ginés Jiménez utilizó el expediente "con el fin de causar perjuicios al funcionario" y ha reclamado responsabilidades políticas. "Ya está bien de tirar con pólvora ajena y no tener responsabilidades personales", ha señalado.
Fuente: QUE
Fecha: 08/06/2011
La provincia multiplica por seis las denuncias por protección de datos personales
Perfiles falsos o fotos comprometedoras en redes sociales, datos personales dentro de un fichero de morosos circulando por mesas de prestamistas, videocámaras apuntando al balcón, imágenes colgadas en la red e incluso avalanchas de ofertas comerciales. Estos son algunos de los riesgos que afronta el ciudadano de la era de la información y las cifras oficiales empiezan a reflejar la preocupación por la privacidad en España y también en la provincia.
Alicante es ya la sexta provincia con más denuncias presentadas ante la Agencia Española de Protección de Datos (AEPD), con un total de 139 denuncias 2010, un número seis veces superior al registrado en 2007. El año pasado, 12 entidades privadas fueron multadas por la AEPD en la provincia y cuatro instituciones públicas de la provincia fueron expedientadas.
La AEPD, agencia que vela por la aplicación de la LOPD (Ley Orgánica de Protección de Datos) recoge en su memoria del año 2010 que 139 alicantinos presentaron denuncias por posibles violaciones de su privacidad en relación con el tratamiento ilícito de sus datos en diversos ámbitos. La videovigilancia, las telecomunicaciones o las entidades bancarias son, junto a la publicidad no deseada y la actividad de asociaciones, federaciones y clubes; los sectores que más denuncias generan. No existen datos sobre la casuística particular de la provincia, pero los datos nacionales son "extrapolables" a Alicante según fuentes de la Agencia, un ente de derecho público que es todavía poco conocido por la mayoría de la población.
Por esta razón, la mayoría de las reclamaciones y preguntas que tienen que ver con la privacidad se han diseminado por entidades y administraciones muy diferentes. Así, la ventanilla elegida por el demandante depende de su conocimiento de los derechos de privacidad y del grado de ofensa que perciba en la infracción. Por ejemplo, la Unidad de Delitos Informáticos de la Policía Nacional de Alicante recibe una media de "dos denuncias a la semana" relacionadas con este campo, según fuentes policiales.
Límites "difusos"
"El límite dentro lo que es competencia de la protección administrativa de la Agencia y de la protección civil y penal que representan la Policía y los juzgados, es muy difuso", de manera que ante quién se denuncie depende en ocasiones "de la consideración del demandante", explican fuentes policiales.
En líneas gruesas, los límites de actuación de la Agencia y de la justicia lo marcan los límites de la LOPD y el del derecho ordinario. De esta manera, exigir la desaparición de nuestro nombre del registro de una asociación cultural o ideológica con la que ya no nos sentimos identificados, o bien solicitar que desaparezca un artículo en un periódico de Internet -los llamados derechos de cancelación o de olvido en Internet, respectivamente-, están considerados como procesos de tutela de la AEPD. En 2010, este organismo inició 48 de estas actuaciones en la provincia, donde entre 2007 y 2008 se pasó de 17 a 42 actuaciones. En todo el país aumentaron las acciones de este tipo en un 56%.
Otros casos que podrían parecer similares podrían rebasar el límite de la protección de datos para entrar dentro de la categoría de delitos (ámbito penal), como sucedería en el caso de "aparecer en un perfil falso en redes sociales" (delito de suplantación de la personalidad) o en el caso de que el individuo "sea humillado o perjudicado gravemente por fotos personales conseguidas sin autorización o comentarios en redes sociales, páginas web o blogs", según dichas fuentes, en cuyo caso, además de un delito de injurias se estaría vulnerando un derecho fundamental recogido en la constitución como el Derecho al honor.
Otro de los principales motivos de denuncia en 2010, según la memoria de la AEPD, fue el tratamiento de datos en los llamados ficheros de morosidad por cuestiones como "la inclusión indebida de datos en registro de deudores, cesión de datos a empresas de recobro de dudas o vulneración del secreto al intentar cobrar".
La Oficina Municipal de Información al Consumidor de Alicante, otro organismo que deriva a la AEPD cuando compete, recibe numerosas peticiones de información sobre este hecho. "Si hay una deuda anterior, puede aparecer, pero siempre habiéndose producido una comunicación previa con el deudor", apuntan fuentes de la OMIC. La negativa del emisor del registro puede implicar la intervención de la Agencia y recibir una sanción.
La administración pública se libra en parte de la vigilancia de la AEPD. No pueden ser multadas pero sí "forzadas" a corregir negligencias en el tratamiento de datos. Videocámaras indiscretas o sin señalizar, falta de medidas de seguridad en el tratamiento de datos o vulneración del deber del secreto son las infracciones más corrientes en administraciones.
Fuente: diario informacion
Fecha: 02/06/2011
Alicante es ya la sexta provincia con más denuncias presentadas ante la Agencia Española de Protección de Datos (AEPD), con un total de 139 denuncias 2010, un número seis veces superior al registrado en 2007. El año pasado, 12 entidades privadas fueron multadas por la AEPD en la provincia y cuatro instituciones públicas de la provincia fueron expedientadas.
La AEPD, agencia que vela por la aplicación de la LOPD (Ley Orgánica de Protección de Datos) recoge en su memoria del año 2010 que 139 alicantinos presentaron denuncias por posibles violaciones de su privacidad en relación con el tratamiento ilícito de sus datos en diversos ámbitos. La videovigilancia, las telecomunicaciones o las entidades bancarias son, junto a la publicidad no deseada y la actividad de asociaciones, federaciones y clubes; los sectores que más denuncias generan. No existen datos sobre la casuística particular de la provincia, pero los datos nacionales son "extrapolables" a Alicante según fuentes de la Agencia, un ente de derecho público que es todavía poco conocido por la mayoría de la población.
Por esta razón, la mayoría de las reclamaciones y preguntas que tienen que ver con la privacidad se han diseminado por entidades y administraciones muy diferentes. Así, la ventanilla elegida por el demandante depende de su conocimiento de los derechos de privacidad y del grado de ofensa que perciba en la infracción. Por ejemplo, la Unidad de Delitos Informáticos de la Policía Nacional de Alicante recibe una media de "dos denuncias a la semana" relacionadas con este campo, según fuentes policiales.
Límites "difusos"
"El límite dentro lo que es competencia de la protección administrativa de la Agencia y de la protección civil y penal que representan la Policía y los juzgados, es muy difuso", de manera que ante quién se denuncie depende en ocasiones "de la consideración del demandante", explican fuentes policiales.
En líneas gruesas, los límites de actuación de la Agencia y de la justicia lo marcan los límites de la LOPD y el del derecho ordinario. De esta manera, exigir la desaparición de nuestro nombre del registro de una asociación cultural o ideológica con la que ya no nos sentimos identificados, o bien solicitar que desaparezca un artículo en un periódico de Internet -los llamados derechos de cancelación o de olvido en Internet, respectivamente-, están considerados como procesos de tutela de la AEPD. En 2010, este organismo inició 48 de estas actuaciones en la provincia, donde entre 2007 y 2008 se pasó de 17 a 42 actuaciones. En todo el país aumentaron las acciones de este tipo en un 56%.
Otros casos que podrían parecer similares podrían rebasar el límite de la protección de datos para entrar dentro de la categoría de delitos (ámbito penal), como sucedería en el caso de "aparecer en un perfil falso en redes sociales" (delito de suplantación de la personalidad) o en el caso de que el individuo "sea humillado o perjudicado gravemente por fotos personales conseguidas sin autorización o comentarios en redes sociales, páginas web o blogs", según dichas fuentes, en cuyo caso, además de un delito de injurias se estaría vulnerando un derecho fundamental recogido en la constitución como el Derecho al honor.
Otro de los principales motivos de denuncia en 2010, según la memoria de la AEPD, fue el tratamiento de datos en los llamados ficheros de morosidad por cuestiones como "la inclusión indebida de datos en registro de deudores, cesión de datos a empresas de recobro de dudas o vulneración del secreto al intentar cobrar".
La Oficina Municipal de Información al Consumidor de Alicante, otro organismo que deriva a la AEPD cuando compete, recibe numerosas peticiones de información sobre este hecho. "Si hay una deuda anterior, puede aparecer, pero siempre habiéndose producido una comunicación previa con el deudor", apuntan fuentes de la OMIC. La negativa del emisor del registro puede implicar la intervención de la Agencia y recibir una sanción.
La administración pública se libra en parte de la vigilancia de la AEPD. No pueden ser multadas pero sí "forzadas" a corregir negligencias en el tratamiento de datos. Videocámaras indiscretas o sin señalizar, falta de medidas de seguridad en el tratamiento de datos o vulneración del deber del secreto son las infracciones más corrientes en administraciones.
Fuente: diario informacion
Fecha: 02/06/2011
Casi 50 granadinos han denunciado vulneración de la Ley de Protección de Datos
La Comisión de Protección de Datos en Andalucía de la Asociación Andaluza de Comercio Electrónico (Andce) ha valorado los datos aportados por la Agencia Española de Protección de Datos (AEPD) en su memoria anual de 2010 y ha resaltado el crecimiento que se ha producido en Andalucía del número de denuncias realizadas en materia de protección de datos que actualmente se sitúa en 582, lo que supone un incremento del 13,40% respecto a las realizadas en 2009 que fueron 504.
Los principales motivos de reclamación estuvieron relacionados con el uso de la videovigilancia, las telecomunicaciones, las entidades financieras y las comunicaciones electrónicas comerciales. Las denuncias recibidas por la AEPD en 2010 también han aumentado "considerablemente" en las ocho provincias andaluzas cuyo reparto quedaría de la siguiente manera: 171 procedieron de Sevilla (29,38%), 119 de Málaga (20,45%), 74 de Cádiz (12,71%), 56 de Córdoba (9,62%), 48 de Granada (8,25%), Huelva y Jaén 39 cada una (6,70%) y Almería 36 denuncias (6,18%).
Los procedimientos sancionadores resueltos en Andalucía han sido en el 2010 de 45, lo que supone un 13,33% más que en el 2009 y Sevilla se sitúa a la cabeza en el número de procedimientos sancionadores, con 14.
Para el presidente de la Asociación Andaluza de Comercio Electrónico y miembro de la Comisión de la Protección de Datos en Andalucía, Pedro Rodríguez López de Lemus, "los datos publicados en la memoria 2010 de la AEPD demuestran que, a pesar del crecimiento de denuncias, cada vez hay una mayor concienciación en materia de protección de datos, no sólo con el fin de proteger el tratamiento de los datos personales de los clientes, sino también con el fin de evitar las sanciones". "Esto se ve claramente en el dato del aumento del número de ficheros inscritos, que antes muchas empresas no realizaban por el propio desconocimiento de esta normativa", añade.
En cuanto a la inscripción de ficheros en el Registro General de Protección de Datos, en el 2010 se ha producido un incremento del 29,31% en Andalucía respecto al 2009, situándose actualmente la cifra en 94.452 ficheros privados. Este incremento se debe a que la notificación de ficheros y bases de datos ante la Agencia Española de Protección de Datos es una de las principales obligaciones reguladas por la LOPD para las empresas, según explica.
Respecto a los ficheros inscritos que tienen las provincias andaluzas, los datos quedarían de la siguiente manera: Málaga con 21.021 ficheros inscritos (22,25%), Sevilla con 20.411 (21,61%), Granada con 12.094 (12,80%), Cádiz con 10.524 (11,14%), Almería con 9.237 (9,78%), Córdoba con 8.449 (8,95%), Jaén con 7.902 (8,37%) y Huelva con 4.814 (5,1%).
Los sectores que han experimentado una mayor actividad en el índice de registros son los relacionados con el sector inmobiliario (comunidades de propietarios y constructoras); el sector del comercio, hostelería y turismo y el sector sanitario.
Fuente: Granada Hoy
Fecha: 29/05/2011
Los principales motivos de reclamación estuvieron relacionados con el uso de la videovigilancia, las telecomunicaciones, las entidades financieras y las comunicaciones electrónicas comerciales. Las denuncias recibidas por la AEPD en 2010 también han aumentado "considerablemente" en las ocho provincias andaluzas cuyo reparto quedaría de la siguiente manera: 171 procedieron de Sevilla (29,38%), 119 de Málaga (20,45%), 74 de Cádiz (12,71%), 56 de Córdoba (9,62%), 48 de Granada (8,25%), Huelva y Jaén 39 cada una (6,70%) y Almería 36 denuncias (6,18%).
Los procedimientos sancionadores resueltos en Andalucía han sido en el 2010 de 45, lo que supone un 13,33% más que en el 2009 y Sevilla se sitúa a la cabeza en el número de procedimientos sancionadores, con 14.
Para el presidente de la Asociación Andaluza de Comercio Electrónico y miembro de la Comisión de la Protección de Datos en Andalucía, Pedro Rodríguez López de Lemus, "los datos publicados en la memoria 2010 de la AEPD demuestran que, a pesar del crecimiento de denuncias, cada vez hay una mayor concienciación en materia de protección de datos, no sólo con el fin de proteger el tratamiento de los datos personales de los clientes, sino también con el fin de evitar las sanciones". "Esto se ve claramente en el dato del aumento del número de ficheros inscritos, que antes muchas empresas no realizaban por el propio desconocimiento de esta normativa", añade.
En cuanto a la inscripción de ficheros en el Registro General de Protección de Datos, en el 2010 se ha producido un incremento del 29,31% en Andalucía respecto al 2009, situándose actualmente la cifra en 94.452 ficheros privados. Este incremento se debe a que la notificación de ficheros y bases de datos ante la Agencia Española de Protección de Datos es una de las principales obligaciones reguladas por la LOPD para las empresas, según explica.
Respecto a los ficheros inscritos que tienen las provincias andaluzas, los datos quedarían de la siguiente manera: Málaga con 21.021 ficheros inscritos (22,25%), Sevilla con 20.411 (21,61%), Granada con 12.094 (12,80%), Cádiz con 10.524 (11,14%), Almería con 9.237 (9,78%), Córdoba con 8.449 (8,95%), Jaén con 7.902 (8,37%) y Huelva con 4.814 (5,1%).
Los sectores que han experimentado una mayor actividad en el índice de registros son los relacionados con el sector inmobiliario (comunidades de propietarios y constructoras); el sector del comercio, hostelería y turismo y el sector sanitario.
Fuente: Granada Hoy
Fecha: 29/05/2011
La AEPD abrió en 2010 más de cien investigaciones en el ámbito sanitario
La Agencia Española de Protección de Datos (AEPD) abrió en 2010 un total de 114 investigaciones en el ámbito sanitario, un 7,3 por ciento menos que en 2009, cuando abrió 123, con motivo de las inspecciones que ha llevado a cabo estos dos años en hospitales públicos y privados, según ha explicado el director de la agencia, Artemi Rallo.
Durante la presentación de la Memoria 2010 del organismo, Rallo ha precisado que se han resuelto once procedimientos sancionadores, tres más que en 2008, año en que se resolvieron ocho, y uno menos que en 2008, cuando se resolvieron diez. Estas inspecciones tienen su origen en la constatación de "alarmantes casos y procedimientos tramitados por la AEPD vinculados, principalmente, a la vulneración de los deberes de seguridad y secreto por parte de los centros sanitarios".
Asimismo, Rallo ha comentado que se han abierto doce procedimientos de declaración de infracciones de las Administraciones Públicas sanitarias durante el año pasado, de los que seis son infracciones leves por no contestar a los requerimientos efectuados por la agencia.
También ha precisado que la agencia recibió 97 tutelas de acceso a la historia clínica, mientras que en 2009 recibió 60. De estas 97, se resolvieron 95, por las que 55 resueltas en 2009. Los motivos por los que se recibieron estas peticiones fueron el acceso a la propia historia clínica "al considerar que se había suministrado de forma incompleta" y la denegación de acceso al historial de un familiar fallecido.
Por tipo de titularidad de los centros hospitalarios, el organismo envió 251 recomendaciones a los privados y 109 a los públicos. Además, mandó 313 requerimientos a los hospitales privados, de los que fueron contestados 294, y 292 a los públicos, recibiendo contestación de 268 de ellos. Asimismo, requirió un total de 202 medidas correctoras, 42 a los privados y 159 a los públicos.
Finalmente, el director de la AEPD ha denunciado que se han constatado "importantes deficiencias en la implantación de medidas para que los datos personales y la información sanitaria de los pacientes sean adecuadamente custodiados y no puedan ser conocidos por terceros no autorizados".
Esto sucede, según ha concluido, a pesar de que un 98 por ciento de los centros privados y un 83 por ciento de los públicos han elaborado el Documento de Seguridad previsto en el Reglamento de la Ley Orgánica de Protección de Datos (LOPD).
Fuente: Salut.org
Fecha: 24/05/2011
Durante la presentación de la Memoria 2010 del organismo, Rallo ha precisado que se han resuelto once procedimientos sancionadores, tres más que en 2008, año en que se resolvieron ocho, y uno menos que en 2008, cuando se resolvieron diez. Estas inspecciones tienen su origen en la constatación de "alarmantes casos y procedimientos tramitados por la AEPD vinculados, principalmente, a la vulneración de los deberes de seguridad y secreto por parte de los centros sanitarios".
Asimismo, Rallo ha comentado que se han abierto doce procedimientos de declaración de infracciones de las Administraciones Públicas sanitarias durante el año pasado, de los que seis son infracciones leves por no contestar a los requerimientos efectuados por la agencia.
También ha precisado que la agencia recibió 97 tutelas de acceso a la historia clínica, mientras que en 2009 recibió 60. De estas 97, se resolvieron 95, por las que 55 resueltas en 2009. Los motivos por los que se recibieron estas peticiones fueron el acceso a la propia historia clínica "al considerar que se había suministrado de forma incompleta" y la denegación de acceso al historial de un familiar fallecido.
Por tipo de titularidad de los centros hospitalarios, el organismo envió 251 recomendaciones a los privados y 109 a los públicos. Además, mandó 313 requerimientos a los hospitales privados, de los que fueron contestados 294, y 292 a los públicos, recibiendo contestación de 268 de ellos. Asimismo, requirió un total de 202 medidas correctoras, 42 a los privados y 159 a los públicos.
Finalmente, el director de la AEPD ha denunciado que se han constatado "importantes deficiencias en la implantación de medidas para que los datos personales y la información sanitaria de los pacientes sean adecuadamente custodiados y no puedan ser conocidos por terceros no autorizados".
Esto sucede, según ha concluido, a pesar de que un 98 por ciento de los centros privados y un 83 por ciento de los públicos han elaborado el Documento de Seguridad previsto en el Reglamento de la Ley Orgánica de Protección de Datos (LOPD).
Fuente: Salut.org
Fecha: 24/05/2011
Protección de Datos sanciona por facturar a antiguos clientes
Cuando una empresa que factura a la cuenta bancaria de un cliente, que previamente había cancelado la contratación con ella, no sólo está vulnerando la normativa civil sino que también lo hace con la de protección de datos. Por ello, puede ser sancionada según establece la sentencia de la Audiencia Nacional del 14 de abril de 2011.
La ponente, la magistrada Veiga Nicole, determina que la Agencia Española de Protección de Datos (Aepd) es competente para velar por el cumplimiento de esta legislación y controlar su aplicación, de acuerdo con lo regulado por el artículo 37 de la Ley Orgánica de Protección de Datos (Lopd), aunque considera que cuestión distinta será determinar si efectivamente se ha producido o no una vulneración de tal legislación, única para la que la Agencia resulta competente.
En este caso, la Aepd decidió imponer la sanción prevista para las infracciones graves en su grado mínimo, es decir 40.001 euros.
La sentencia determina que la empresa no actualizó los datos del afectado para que los mismos respondiesen con veracidad a la situación actual, como pauta el precepto infringido. Además, señala que la factura se remitió a la cuenta bancaria del denunciante pero a nombre de un tercero, incumpliendo la recurrente el deber de diligencia en el tratamiento de los datos que deben ser exactos y veraces.
El artículo 44.3.d) de la Lopd tipifica como infracción grave tratar los datos de carácter personal con conculcación de los principios y garantías establecidas en la ley o "en las disposiciones reglamentarias de desarrollo", y también establece la exigencia de la exactitud y veracidad de los datos en el artículo 4.3, en el que señala que " los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado".
En el presente caso, señala la magistrada, la empresa recurrente admite haber remitido unas facturas a la cuenta bancaria del denunciante que con anterioridad había cancelado su contratación con la operadora de forma que el denunciante ya no era titular del contrato que legitimase la actuación de la recurrente. La entidad negaba en su recurso, que existiese la infracción por protección de datos, "al considerar que girar cargos bancarios indebidos podrá ser una actuación ilícita desde el punto de vista civil pero la Agencia carece de competencia para intervenir ante tal supuesto de cobro indebido".
Fuente: el Economista
Fecha: 24/05/2011
La ponente, la magistrada Veiga Nicole, determina que la Agencia Española de Protección de Datos (Aepd) es competente para velar por el cumplimiento de esta legislación y controlar su aplicación, de acuerdo con lo regulado por el artículo 37 de la Ley Orgánica de Protección de Datos (Lopd), aunque considera que cuestión distinta será determinar si efectivamente se ha producido o no una vulneración de tal legislación, única para la que la Agencia resulta competente.
En este caso, la Aepd decidió imponer la sanción prevista para las infracciones graves en su grado mínimo, es decir 40.001 euros.
La sentencia determina que la empresa no actualizó los datos del afectado para que los mismos respondiesen con veracidad a la situación actual, como pauta el precepto infringido. Además, señala que la factura se remitió a la cuenta bancaria del denunciante pero a nombre de un tercero, incumpliendo la recurrente el deber de diligencia en el tratamiento de los datos que deben ser exactos y veraces.
El artículo 44.3.d) de la Lopd tipifica como infracción grave tratar los datos de carácter personal con conculcación de los principios y garantías establecidas en la ley o "en las disposiciones reglamentarias de desarrollo", y también establece la exigencia de la exactitud y veracidad de los datos en el artículo 4.3, en el que señala que " los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado".
En el presente caso, señala la magistrada, la empresa recurrente admite haber remitido unas facturas a la cuenta bancaria del denunciante que con anterioridad había cancelado su contratación con la operadora de forma que el denunciante ya no era titular del contrato que legitimase la actuación de la recurrente. La entidad negaba en su recurso, que existiese la infracción por protección de datos, "al considerar que girar cargos bancarios indebidos podrá ser una actuación ilícita desde el punto de vista civil pero la Agencia carece de competencia para intervenir ante tal supuesto de cobro indebido".
Fuente: el Economista
Fecha: 24/05/2011
La Valenciana gana el recurso contra la multa de Protección de datos por publicar sanciones
La Audiencia Nacional ha fallado a favor de la Federación de Ciclismo de la Comunitat Valenciana (FCCV) en su recurso a la multa impuesta por la Agencia Española de Protección de Datos (AEPD) por una cantidad de 60.101,21 euros, que deberán ser devueltos a las arcas federativas autonómicas.
La sección primera de la Sala de lo Contencioso-Administrativo, presidida por la jueza ponente Lourdes Sanz, estimó el recurso a la resolución del director de la AEPD que se aplicó a la FCCV por publicar en su web (http://www.fccv.es/) el período de suspensión de licencia (inicio y fin) con el que fueron sancionados una serie de federados en la temporada 2006, identificados por su nombre y apellidos, al objeto de lograr la efectividad de la suspensión y evitar su participación en competiciones durante dicho período.
El recurso redactado por el abogado de la FCCV, Xavier Monfort, y apoyado por Luis Sanz, letrado de la Real Federación Española de Ciclismo (RFEC), argumentó que "no se puede hablar de vulneración del principio de consentimiento de la Ley Orgánica de Protección de Datos (LOPD), pues el tratamiento de los datos de carácter personal realizado está amparado por la licencia federativa". Además, considera que "la publicación de la sanciones impuestas es un medio necesario para su efectividad, pues de otro modo no sería conocida", basándose en el Reglamento Disciplinario de la RFEC. Una de sus finalidades es que los "árbitros puedan conocer los sancionados y que no puedan participar en competiciones deportivas oficiales, sin hacer constar el origen de la sanción o la conducta infractora".
Uno de los puntales importantes para la sentencia positiva fue la respuesta de la RFEC, en mayo de 2009, en la que manifestó que no se presentó ante dicha federación ninguna queja o reclamación por aparecer en las listas de corredores que no pueden competir temporalmente. La RFE estima también que que cualquier ciclista con licencia acepta el hecho de que las sanciones a las que puede estar sujeto pueden ser comunicadas públicamente. En este sentido la FCCV aportó la prueba testifical de dos de los ciclistas que aparecían en el listado publicado en la web de la FCCV, en las que reconocieron que dicha publicación no habían vulnerado si derecho a la intimidad.
En el recurso se recuerda que la denuncia que dio lugar a la sanción de la AEPD por valor de más de 60.000 euros, no se interpuso por parte de ninguno de los deportistas sancionados sino por la RFEC en diciembre de 2006, cuyo presidente era Fulgencio Sánchez (expresidente de la FCCV); su secretario, Eugenio Bermúdez; y su tesorero, Jaime Muñoz. Un máximo mandatario distinto del presente en mayo de 2009, Juan Carlos Castaño.
Por todo ello, la sala de la Audencia Nacional no aprecia la vulneración de la infracción del principio de consentimiento ni tampoco la infracción del deber del secreto por parte de la FCCV y estima el recurso, por lo que la AEPD deberá devolver la cantidad ya pagada de la sanción. Esta sentencia no cabe contra ella recurso de casación ante el Tribunal Supremo.
Fuente: Área comunicación FCCV / Fernando Ferrari
Fecha: 23/05/2011
La sección primera de la Sala de lo Contencioso-Administrativo, presidida por la jueza ponente Lourdes Sanz, estimó el recurso a la resolución del director de la AEPD que se aplicó a la FCCV por publicar en su web (http://www.fccv.es/) el período de suspensión de licencia (inicio y fin) con el que fueron sancionados una serie de federados en la temporada 2006, identificados por su nombre y apellidos, al objeto de lograr la efectividad de la suspensión y evitar su participación en competiciones durante dicho período.
El recurso redactado por el abogado de la FCCV, Xavier Monfort, y apoyado por Luis Sanz, letrado de la Real Federación Española de Ciclismo (RFEC), argumentó que "no se puede hablar de vulneración del principio de consentimiento de la Ley Orgánica de Protección de Datos (LOPD), pues el tratamiento de los datos de carácter personal realizado está amparado por la licencia federativa". Además, considera que "la publicación de la sanciones impuestas es un medio necesario para su efectividad, pues de otro modo no sería conocida", basándose en el Reglamento Disciplinario de la RFEC. Una de sus finalidades es que los "árbitros puedan conocer los sancionados y que no puedan participar en competiciones deportivas oficiales, sin hacer constar el origen de la sanción o la conducta infractora".
Uno de los puntales importantes para la sentencia positiva fue la respuesta de la RFEC, en mayo de 2009, en la que manifestó que no se presentó ante dicha federación ninguna queja o reclamación por aparecer en las listas de corredores que no pueden competir temporalmente. La RFE estima también que que cualquier ciclista con licencia acepta el hecho de que las sanciones a las que puede estar sujeto pueden ser comunicadas públicamente. En este sentido la FCCV aportó la prueba testifical de dos de los ciclistas que aparecían en el listado publicado en la web de la FCCV, en las que reconocieron que dicha publicación no habían vulnerado si derecho a la intimidad.
En el recurso se recuerda que la denuncia que dio lugar a la sanción de la AEPD por valor de más de 60.000 euros, no se interpuso por parte de ninguno de los deportistas sancionados sino por la RFEC en diciembre de 2006, cuyo presidente era Fulgencio Sánchez (expresidente de la FCCV); su secretario, Eugenio Bermúdez; y su tesorero, Jaime Muñoz. Un máximo mandatario distinto del presente en mayo de 2009, Juan Carlos Castaño.
Por todo ello, la sala de la Audencia Nacional no aprecia la vulneración de la infracción del principio de consentimiento ni tampoco la infracción del deber del secreto por parte de la FCCV y estima el recurso, por lo que la AEPD deberá devolver la cantidad ya pagada de la sanción. Esta sentencia no cabe contra ella recurso de casación ante el Tribunal Supremo.
Fuente: Área comunicación FCCV / Fernando Ferrari
Fecha: 23/05/2011
Abren proceso de infracción por la cesión de datos de pacientes del hospital de Inca
La Agencia Española de Protección de Datos (AEPD) ha acordado iniciar procedimiento de declaración de infracción de Administraciones Públicas contra el ayuntamiento de Inca y contra el hospital comarcal de este municipio por la presunta cesión irregular y no autorizada de los datos de algunos de los pacientes ingresados para que políticos del Partido Popular les cursaran visitas con fines electoralistas, hechos denunciados por DIARIO de MALLORCA en exclusiva.
Así, en el procedimiento de declaración de infracción abierto contra el ayuntamiento de la capital de es Raiguer, la AEPD considera que, tras la investigación realizada, el consistorio de Inca podría haber incurrido en una infracción del artículo 7.3 de la Ley Orgánica de Protección de Datos que señala que "los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente".
De la investigación llevada a cabo por este rotativo, en el trascurso de la cual se habló con algunos de los pacientes "visitados" por políticos del PP mientras estaban ingresados en el centro hospitalario, no se desprende que los usuarios hubiesen dado su "consentimiento expreso" a la cesión de sus datos que posibilitaron la visita de "cortesía" por parte de los políticos.
Por su parte, en el proceso abierto contra el hospital comarcal de Inca y contra el Servei de Salut del Govern de les Illes Balears, se abre la posibilidad de una infracción del artículo 11.1 que estipula que "los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado".
La infracción de ambos artículos está considerada como "muy grave" ya que implicaría una "comunicación o cesión de los datos de carácter personal" que no habría sido autorizada.
Según matizaron fuentes de la AEPD, al tratarse de entidades públicas, el procedimiento recibe el nombre de declaración de infracción de las Administraciones Públicas. Una vez acordada la apertura de este procedimiento se abriría un periodo para que la entidad denunciada pueda presentar alegaciones y proponer las pruebas que estime convenientes, así como ejercer su derecho de audiencia. Concluida la instrucción, se llegaría a una propuesta de resolución (donde se abre un nuevo período para alegaciones y presentar los documentos que se estimen pertinentes) que podría concluir archivando el caso o declarando una infracción de las Administraciones Públicas.
Si se determinara que ha habido una declaración de infracción, se especificaría el artículo de la LOPD que se ha visto vulnerado y si está tipificado como una falta leve, grave o muy grave de la ley. Asimismo, se requeriría a la entidad para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo infringido. Si procediera, podrían proponerse también la iniciación de actuaciones contempladas en el régimen disciplinario de las Administraciones Públicas. Estas resoluciones se comunican al Defensor del Pueblo, de conformidad con lo establecido en la LOPD.
Este acuerdo de apertura es una fase más del procedimiento y no significa necesariamente que concluya con una declaración de infracción, ya que podría finalizar en archivo si se constata que no ha habido vulneración de la normativa de protección de datos, recalcaron desde la AEPD.
Estos procedimientos son el segundo paso tras la investigación abierta por la Agencia de Protección de Datos tras las denuncias interpuestas por estos hechos por Aurelio Martínez, secretario general de la Federación de Servicios Públicos de UGT en Balears, y Carmen Flores, presidenta de la asociación Defensor del Paciente.
De la investigación llevada a cabo por el Servei de Salut y remitida a la AEPD se desprende que "personas del Ayuntamiento (de Inca) han visitado a pacientes en habitaciones determinadas, pero nunca se ha visto recoger ninguna documentación previa a la misma".
Llamada previa
Además, el director gerente del hospital, Federico Álvarez, remitió al Servei de Salut un listado de 39 faxes enviados entre el 21 de septiembre de 2009 y el 2 de noviembre de 2010 al Instituto de Educación Secundaria Pau Casesnoves donde trabaja la responsable del área de Sanidad del ayuntamiento inquer, Margarita Horrach, presunta responsable de la organización de estas visitas a los pacientes con fines electoralistas. Se ha constatado además que el envío de los faxes iba precedido de una llamada a dicho instituto.
También, rastreando el ordenador ubicado en el servicio de admisión del hospital, se observó que existía un usuario que cumplía el patrón de consultas de datos de pacientes con la impresión de documentos y que, además, los picos de estas consultas coincidían con los días en que la citada edil visitaba a pacientes de su municipio ingresados en el hospital.
Paralelamente a la investigación abierta por el Agencia de Protección de Datos, el Servei de Salut interpuso el pasado 18 de noviembre ante el juzgado de guardia de Inca una denuncia para que se investigara quién o quiénes han sido los responsables de una fuga de información desde el hospital al Ayuntamiento.
Fuente: Diario de Mallorca
Fecha: 13/05/2011
Así, en el procedimiento de declaración de infracción abierto contra el ayuntamiento de la capital de es Raiguer, la AEPD considera que, tras la investigación realizada, el consistorio de Inca podría haber incurrido en una infracción del artículo 7.3 de la Ley Orgánica de Protección de Datos que señala que "los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente".
De la investigación llevada a cabo por este rotativo, en el trascurso de la cual se habló con algunos de los pacientes "visitados" por políticos del PP mientras estaban ingresados en el centro hospitalario, no se desprende que los usuarios hubiesen dado su "consentimiento expreso" a la cesión de sus datos que posibilitaron la visita de "cortesía" por parte de los políticos.
Por su parte, en el proceso abierto contra el hospital comarcal de Inca y contra el Servei de Salut del Govern de les Illes Balears, se abre la posibilidad de una infracción del artículo 11.1 que estipula que "los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado".
La infracción de ambos artículos está considerada como "muy grave" ya que implicaría una "comunicación o cesión de los datos de carácter personal" que no habría sido autorizada.
Según matizaron fuentes de la AEPD, al tratarse de entidades públicas, el procedimiento recibe el nombre de declaración de infracción de las Administraciones Públicas. Una vez acordada la apertura de este procedimiento se abriría un periodo para que la entidad denunciada pueda presentar alegaciones y proponer las pruebas que estime convenientes, así como ejercer su derecho de audiencia. Concluida la instrucción, se llegaría a una propuesta de resolución (donde se abre un nuevo período para alegaciones y presentar los documentos que se estimen pertinentes) que podría concluir archivando el caso o declarando una infracción de las Administraciones Públicas.
Si se determinara que ha habido una declaración de infracción, se especificaría el artículo de la LOPD que se ha visto vulnerado y si está tipificado como una falta leve, grave o muy grave de la ley. Asimismo, se requeriría a la entidad para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo infringido. Si procediera, podrían proponerse también la iniciación de actuaciones contempladas en el régimen disciplinario de las Administraciones Públicas. Estas resoluciones se comunican al Defensor del Pueblo, de conformidad con lo establecido en la LOPD.
Este acuerdo de apertura es una fase más del procedimiento y no significa necesariamente que concluya con una declaración de infracción, ya que podría finalizar en archivo si se constata que no ha habido vulneración de la normativa de protección de datos, recalcaron desde la AEPD.
Estos procedimientos son el segundo paso tras la investigación abierta por la Agencia de Protección de Datos tras las denuncias interpuestas por estos hechos por Aurelio Martínez, secretario general de la Federación de Servicios Públicos de UGT en Balears, y Carmen Flores, presidenta de la asociación Defensor del Paciente.
De la investigación llevada a cabo por el Servei de Salut y remitida a la AEPD se desprende que "personas del Ayuntamiento (de Inca) han visitado a pacientes en habitaciones determinadas, pero nunca se ha visto recoger ninguna documentación previa a la misma".
Llamada previa
Además, el director gerente del hospital, Federico Álvarez, remitió al Servei de Salut un listado de 39 faxes enviados entre el 21 de septiembre de 2009 y el 2 de noviembre de 2010 al Instituto de Educación Secundaria Pau Casesnoves donde trabaja la responsable del área de Sanidad del ayuntamiento inquer, Margarita Horrach, presunta responsable de la organización de estas visitas a los pacientes con fines electoralistas. Se ha constatado además que el envío de los faxes iba precedido de una llamada a dicho instituto.
También, rastreando el ordenador ubicado en el servicio de admisión del hospital, se observó que existía un usuario que cumplía el patrón de consultas de datos de pacientes con la impresión de documentos y que, además, los picos de estas consultas coincidían con los días en que la citada edil visitaba a pacientes de su municipio ingresados en el hospital.
Paralelamente a la investigación abierta por el Agencia de Protección de Datos, el Servei de Salut interpuso el pasado 18 de noviembre ante el juzgado de guardia de Inca una denuncia para que se investigara quién o quiénes han sido los responsables de una fuga de información desde el hospital al Ayuntamiento.
Fuente: Diario de Mallorca
Fecha: 13/05/2011
La Junta investiga el hallazgo en un descampado de documentación de Cultura
La Delegación Provincial de la Consejería de Cultura ha abierto hoy un expediente informativo para esclarecer el hallazgo en un descampado próximo a La Vega de diversa documentación en varias bolsas de basura procedente de este departamento, que ya ha sido retirada por sus responsables.
Así lo ha informado el delegado de Cultura, Pedro Benzal, que ha expresado su "extrañeza" por lo ocurrido y que añadido que ya está siendo investigado para determinar posibles responsabilidades.
Entre la documentación encontrada, que fue depositada en varias bolsas de plástico en unos terrenos cercanos a la clínica La Inmaculada de Granada, se encontraban, según el delegado, "varias carpetas vacías" con el membrete de la Junta, varios BOJA y diversas fotocopias.
No obstante, según avanza hoy Ideal, entre los papeles hallados se encontraban "centenares" de documentos entre los que "abundan" nombres y apellidos de particulares, números de teléfono y otros datos personales, además de expedientes completos de diversas actuaciones tramitadas por la Delegación de Cultura.
Benzal ha recordado que el procedimiento habitual de su departamento es trasladar la documentación que necesita ser conservada al Archivo Provincial, algo que se realiza en su vehículo oficial, y que el resto de archivos son destruidos y "triturados" y depositados en un contenedor próximo a la Delegación.
La Ley Orgánica de Protección de Datos (LOPD) prevé en cuanto a los deberes de seguridad y secreto que el responsable de un fichero deberá adoptar las medidas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Según ha indicado a Efe la Agencia Española de Protección de Datos (AEPD), que por el momento no ha valorado este caso, con anterioridad se han atendido supuestos similares en los que ha sancionado a la entidad correspondiente en el caso de entidades privadas o ha declarado una infracción de la Ley en el caso de las públicas.
Fuente: Radio Granada
Fecha: 05/05/2011
Así lo ha informado el delegado de Cultura, Pedro Benzal, que ha expresado su "extrañeza" por lo ocurrido y que añadido que ya está siendo investigado para determinar posibles responsabilidades.
Entre la documentación encontrada, que fue depositada en varias bolsas de plástico en unos terrenos cercanos a la clínica La Inmaculada de Granada, se encontraban, según el delegado, "varias carpetas vacías" con el membrete de la Junta, varios BOJA y diversas fotocopias.
No obstante, según avanza hoy Ideal, entre los papeles hallados se encontraban "centenares" de documentos entre los que "abundan" nombres y apellidos de particulares, números de teléfono y otros datos personales, además de expedientes completos de diversas actuaciones tramitadas por la Delegación de Cultura.
Benzal ha recordado que el procedimiento habitual de su departamento es trasladar la documentación que necesita ser conservada al Archivo Provincial, algo que se realiza en su vehículo oficial, y que el resto de archivos son destruidos y "triturados" y depositados en un contenedor próximo a la Delegación.
La Ley Orgánica de Protección de Datos (LOPD) prevé en cuanto a los deberes de seguridad y secreto que el responsable de un fichero deberá adoptar las medidas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Según ha indicado a Efe la Agencia Española de Protección de Datos (AEPD), que por el momento no ha valorado este caso, con anterioridad se han atendido supuestos similares en los que ha sancionado a la entidad correspondiente en el caso de entidades privadas o ha declarado una infracción de la Ley en el caso de las públicas.
Fuente: Radio Granada
Fecha: 05/05/2011
Suscribirse a:
Entradas (Atom)
Entradas
