Bienvenidos al blog sobre la Ley Orgánica de Protección de Datos

Bienvenidos al blog sobre la Ley Orgánica de Protección de Datos, en él iremos poco a poco incluyendo noticias de interés surgidas sobre la normativa para ir comentándolas y resolviendo las dudas que pudieran surgir al lector

jueves, 18 de octubre de 2012

La UE da a Google cuatro meses para cambiar política de privacidad

Google tiene cuatro meses para hacer que su política de privacidad cumpla con requerimientos de los organismos de protección de datos de la Unión Europea o enfrentará la posibilidad de una acción disciplinaria a nivel nacional. La Commission Nationale de l'Informatique (CNIL) de Francia, que trabaja en nombre de los 27 reguladores de datos de la Unión Europea, ha dicho este martes que había encontrado varios defectos legales en la nueva política sobre datos de usuarios adoptada por Google en marzo. Entre las preocupaciones de CNIL figura el modo en que la compañía estadounidense combina datos anónimos a partir del historial de búsqueda de los usuarios a través de sus servicios para dirigir mejor la publicidad. Eso ha llevado a que reguladores nacionales emitan 12 recomendaciones para Google para alinear su política de privacidad, incluyendo informar mejor a los usuarios sobre cómo se usarán sus datos y estableciendo períodos precisos para la retención de datos. El consejero global de privacidad de Google, Peter Fleischer, ha comentado que la compañía examinará los resultados de la investigación y ha agregado que está confiado en que la política de privacidad de la empresa respeta la ley de la Unión Europea. La presidente del CNIL, Isabelle Falque-Pierrotin, ha afirmado que los reguladores están preparados para hablar con Google. "Si Google no actúa en conformidad en el tiempo permitido, entraremos en la fase disciplinaria", ha agregado. Google puede negociar con los reguladores y cambiar elementos de su política de privacidad o puede desafiar su autoridad para imponer cambios en la corte. Los organismos para la protección de datos que examinaron la política de privacidad no pueden decidir sobre la legalidad de la postura de Google debido a que no son una corte de justicia. MULTAS ANTERIORES Algunos reguladores nacionales de protección de datos, incluyendo a los de Bélgica, Francia y Holanda, han impuesto multas a empresas que han violado reglamentos en el pasado. Dichas sanciones no pueden ser impuestas en toda la Unión Europea. Cuando se descubrió que Google había violado reglas de protección de datos después de que sus automóviles de Street View habían recogido datos no autorizados sobre redes públicas de Internet inalámbrica en el 2010, enfrentó docenas de casos separados. En ese episodio, Google fue multado con 100.000 euros (129.000 dólares) por el organismo de protección de datos de Francia, mientras que Holanda amenazó con una multa de un millón de euros si la empresa no cambiaba su política. La nueva postura de Google respecto a los datos, que consolidó 60 políticas de privacidad en una sola, permite compartir información recogida sobre usuarios individuales a través de sus servicios, incluyendo YouTube, Gmail y la red social Google+. Los usuarios no tienen la opción de no formar parte de ese esquema. Jacob Kohnstamm, el jefe de protección de datos de Holanda y director del grupo de trabajo de los reguladores de protección de datos de la Unión Europea, ha confirmado que es la primera vez que los reguladores han cooperado en una investigación. "Como las empresas de Internet no conocen fronteras, es indispensable que la protección de datos trabaje en conjunto", ha sostenido. Fuente: europa Press Fecha: 16/10/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

El País comunica los despidos por email

Un correo electrónico con el texto de su despido: "(...) puesto que la lista de afectados por el expediente de despido colectivo iniciado el pasado martes está incorporada a la documentación facilitada tanto a la representación de los trabajadores como a la administración laboral, le comunico que está en dicha lista de afectados. En todo caso, el número e identidad de los afectados definitivamente por el despido colectivo será el que resulte de las negociaciones entre la dirección de la empresa y los representantes legales de los trabajadores y de la decisión que finalmente se adopte con o sin acuerdo en dicho periodo de consultas. Un saludo muy cordial." Es todo lo que han recibido los afectados por el ERE de El País mientras están abiertas las negociaciones con el comité de empresa. En total, 110 periodistas y 39 trabajadores del resto servicios y gestión. La lista definitiva, como dice el correo, todavía debe cerrarse, pero ya se han filtrado los puestos afectados: ocho en los mandos intermedios y dirección, dos corresponsales, 11 jefes de sección, 14 subjefes, 13 redactores de libre disposición, 45 redactores A, 6 redactores B, 2 redactores C, 9 redactores D, 1 redactor de un año, 35 profesionales de Servicios Auxiliares, y 4 del área de gestión. La presión crecerá sobre los afectados y, como siempre en estos casos, se abrirán brechas en la plantilla. Ayer se convocaron nueve jornadas de huelga y cuatro días de paros parciales. Los representantes de los trabajadores sumaron los 851,8 millones de beneficios del diario desde 2000 para preguntarse dónde ha ido ese dinero ahora que el diario lo necesita para superar la crisis. La falta de inversión en innovación y de reservas contra la crisis hace peligrar no sólo el diario actual, sino su modelo futuro, lastrado por esa falta de proyecto y el debilitamiento que el ERE supondrá en la plantilla y la cultura profesional del diario. Fuente: Periodistas 21 Fecha: 18/10/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

Conoce las sanciones económicas que existen en proteccion de datos a nivel europeo

Por Javier Sempere . Asesor de Apoyo Técnico-Jurídico de la Agencia de Protección de Datos de la Comunidad de Madrid. Una de las cuestiones más criticadas de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, es la alta cuantía de sus sanciones así como el hecho de que a las Administraciones públicas no se les imponga las mismas. Así, y a modo de ejemplo podemos citar que las infracciones muy graves pueden ser sancionadas hasta con 600.000 euros; o el llamado caso “Gran Hermano”, cuya productora recibió una sanción por parte de la Agencia Española de Protección de Datos de 1,08 millones de euros, y que posteriormente el Tribunal Supremo ratificaría. Pero, ¿Qué ocurre en el resto de países de la Unión Europea? ¿Imponen sanciones económicas o no? Y en caso afirmativo ¿Cuál es la cuantía? Hagamos una breve comparativa de las leyes de protección de datos de algunos de estos países a ver qué “nos encontramos”: -Alemania: La Ley Federal diferencia entre multas de hasta 50.000 euros (por ejemplo, no cumplir con el derecho de información) y hasta 300.000 (tratamiento de datos sin consentimiento). Además, destaca que la multa debe ser superior al beneficio económico obtenido por el infractor al incumplir la normativa de protección de datos y en caso de que no fuese así, la multa deberá incrementarse hasta superar dicho valor. También recoge la existencia de pena de prisión de hasta dos años. -Austria: Aunque sean países vecinos y compartan algunas cosas, se produce una considerable disminución: hasta 500, 10.000 y 25.000. Destaca que se recoja expresamente la posibilidad de incautar dispositivos de grabación o programas que se hayan utilizado para la comisión de infracciones. -Bélgica: No contempla la posibilidad de sancionar económicamente. -Dinamarca: Por una parte, el responsable deberá indemnizar cualquier daño causado salvo que se demuestre que aunque se hubiese actuado con la diligencia debida dicho daño también se habría producido, por lo que da entender que debe indemnizarse al titular de los datos afectados. Por otra, contiene una lista de supuestos que son considerados como delito con pena de hasta cuatro meses de prisión, como por ejemplo, la obstrucción a la labor inspectora de Agencia de Protección de Datos Danesa. -Finlandia: Existe un “triple régimen”: la posibilidad de indemnización al igual que en Dinamarca; las sanciones económicas aunque no especifica su cuantía; y la remisión a su Código Penal, por ejemplo, para la vulneración del deber de secreto. - Chipre: Con carácter general, la multa puede ascender hasta 2.500 euros, si bien existen otras sanciones, aunque no son de carácter económico, como la obligación de destrucción de datos o la pérdida de autorización para el tratamiento de determinados datos, como los de salud. Además, existen una serie de supuestos en que puede haber multa (1.500 ó 2000 euros) o prisión (3 a 5 años), o incluso ambas. -Eslovaquia: Pese a ser uno de los últimos países en entrar en la Unión Europea (2004), destaca que la cuantía puede alcanzar hasta los 332.005 euros. La mínima se sitúa en 332, para después pasar por 996/1.660/96.601/166.0002. Por otra parte, también regula las sanciones disciplinarias que están ligadas a la obstrucción de la función inspectora o la falta de cooperación y notificación de determinados actos a la Agencia de ese país. Por ejemplo, en el caso de la primar son 33.200 euros. -Francia: Pueden llegar hasta los 300.000 euros, si bien su Autoridad de Protección de Datos (CNIL) tiene esta potestad desde finales de marzo del 2011 debido a la modificación de la Ley de la Informática y sus Libertades (su Ley de Protección de Datos que data de 1978). Además, la mencionada modificación introduce la posibilidad de ser sancionado con 15.000 euros y un año de prisión en una serie de supuestos, como por ejemplo, la obstrucción de la labor inspectora siempre y cuando la citada inspección haya sido autorizada por un juez. -Italia: Diferencia varios tipos de sanciones en función de la infracción cometida. Destaca que la no notificación previa de tratamiento de, entre otros, datos de salud, genéticos o biométricos, puede alcanzar hasta los 120.000, ya que estos supuestos deben ser autorizados por el Garante. También diferencia las sanciones en materia de comunicaciones electrónicas (directiva e-privacy) y retención de datos. En este último caso, hasta 50.000. Llama mucho la atención la posibilidad de que como sanción administrativa accesoria, el Garante decida la publicación de todo o en parte de la correspondiente resolución sancionadora en uno o más periódicos de gran tirada. Recordemos que esta posibilidad está recogida en nuestro país en alguna materias publicando en el Boletín Oficial correspondiente (por ejemplo, artículo 62.7 de la Ley 2/2002, de 19 de junio, de Evaluación Ambiental de la Comunidad de Madrid). -Reino Unido: Desde el 2009 puede imponerlas pero la reforma operada en su Ley le da autonomía total para determinar dichas cuantías a través de un documento que debe elaborar, y que así ha hecho. La cuantía máxima, medio millón de libras. Por cierto, que si se paga en 28 días desde la imposición, se aplica una reducción del 20%. Por último, recordemos que la propuesta de reforma de protección de datos de la Unión Europea contiene un catálogo de infracciones y sanciones económicas iguales para todos, que sería aplicable también a las Administraciones públicas. A partir del cual podemos plantear lo siguiente: - Lógico, en un mundo donde una empresa opera en cualquier país, no tendría mucha lógica que la misma infracción sea sancionada con diferente cuantía en función del país donde se cometa. - O por el contrario, ¿Deben las sanciones económicas estar en función de la capacidad de renta de cada país de la Unión? Fuente: diariojuridico Fecha: 04/09/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

¿Qué puedo hacer si un buscador indexa mis datos publicados en un Boletín Oficial?

En los últimos tiempos las ediciones impresas de los Boletines y Diarios Oficiales han ido dando paso a las ediciones electrónicas disponibles con carácter universal a través de Internet. Esta situación genera dos consecuencias: 1º Al ser indexado el Boletín o Diario por un buscador, la capacidad de cumplir con la finalidad de notificación se multiplica al sobrepasar su ámbito geográfico, ya que Internet es per se, universal. 2º Para poder retirar el contenido una vez que nos enteramos de su existencia, es necesario dirigirnos tanto al Diario o Boletín, como a los buscadores y resto de páginas web que se hayan hecho eco de su contenido. Y es entonces cuando se inicia un penoso camino para la persona que pretende que ciertos datos suyos desaparezcan de Internet. Aunque la Agencia Española de Protección de Datos ha entendido a través de la multitud de procedimientos sancionadores o de tutela de derechos que ha tramitado, que la persona afectada tiene reconocido el derecho de oposición al tratamiento de sus datos de carácter personal y que el Diario o Boletín suele implantar tras el ejercicio de este derecho, mecanismos que impidan la futura indexación de los datos por buscadores, se plantea el problema con los datos ya indexados que aparecen en Internet. Los motores de búsqueda van rastreando continuamente la red. De la misma manera que un contenido tarda un tiempo en aparecer en buscadores ya que dependerá del tiempo que tarde el motor de búsqueda en visitar de nuevo o por primera vez esa Web, los contenidos retirados o bloqueados para futuras indexaciones tardan en ser eliminados de los índices de resultados del buscador, ya que desaparecerán cuando el motor de búsqueda vuelva a visitar ese contenido y no lo encuentre, ya sea por que ha sido retirado o porque se imposibilita su acceso. Cuando el afectado recibe la comunicación de que se han instalado mecanismos que impiden la indexación, al realizar una búsqueda comprueba que entre los resultados aparece ese link por lo que monta en cólera puesto que cree que esto ha sido una tomadura de pelo. Si el Diario o Boletín ha actuado correctamente, al pinchar sobre ese link no debe llevarnos a ninguna parte. Si lo hace es que el dispositivo que impide la indexación no ha sido instalado, o se ha hecho de manera incorrecta por lo que cabría iniciar un procedimiento de tutela de derechos ante la Agencia Española de Protección de Datos contra ese Diario o Boletín Oficial. Una vez que comprobamos que efectivamente el link no lleva a ningún sitio, tenemos dos opciones, o bien esperamos que el buscador con el tiempo se actualice y este link desaparezca, o bien solicitamos el ejercicio del derecho de oposición al buscador para que elimine en el acto este link. Y es en este segundo caso cuando aparecen todos los problemas y nos obligará a acudir a la Agencia Española de Protección de Datos (si así lo estimamos oportuno), ya que, a partir de ahora concretando en el caso de Google, en reiteradas ocasiones ha recurrido las resoluciones de la Agencia Española de Protección de Datos, con idénticas alegaciones y que en resumen son dos. Que los motores de búsqueda pertenecen a la empresa Google INC que no tiene residencia en España (o en otro Estado Miembro de la Unión Europea) sino en USA y que Google Spain (o su homóloga en otro país de la UE) sólo se dedica a comercializar los productos de Google INC. Y la segunda alegación es que la indexación de páginas Web para ello no constituye un tratamiento de datos de carácter personal. Tal ha sido la cantidad de recursos originados, que la Audiencia Nacional ha planteado ante el Tribunal de Justicia de la Unisón Europea una cuestión prejudicial con bastantes puntos a resolver sobre la interpretación de la Directiva 1995/46/CE. Del futuro pronunciamiento del TJUE cabe esperar una solución para todos los Estados Miembros de la Unión Europea a esta problemática, aunque de ser aprobada como está la propuesta de Reglamento de Protección de Datos, actualmente en fase legislativa, también vendrá a solucionar estos problemas ya que obligará a Google a tener establecimiento permanente en algún Estado Miembro de la Unión Europea y se reconoce a los ciudadanos el denominado "Derecho al Olvido". Para finalizar destacamos unos párrafos del Procedimiento Nº: TD/01768/2011, resuelto por la Agencia Española de Protección de Datos de forma idéntica a otros tantos similares, a modo de clarificar lo expuesto en estas líneas. "De este modo, considera la AEPD que, si bien el ciudadano no puede oponerse al mantenimiento en el Boletín Oficial de sus datos de carácter personal, al resultar éste perfectamente legítimo por encontrarse amparado en la Ley que ordena la publicación de los actos o disposiciones, sí puede, sin embargo, el ciudadano oponerse -en los casos en que exista un motivo legítimo y fundado en el sentido previsto en el artículo 6.4 de la LOPD- a que sus datos personales sean objeto de tratamiento previniendo su posible captación por los buscadores de Internet o dicho de otra forma obstaculizando una cesión para el tratamiento por los mismos por los responsables de dichos motores de búsqueda presente requerimiento. En el presente supuesto, se debe considerar que dado el tiempo transcurrido desde la publicación en el Boletín y no concurriendo en la actualidad interés en la puesta indiscriminada a disposición de terceros de la información personal afectada, asiste a la reclamante un motivo legítimo y fundado en el mantenimiento de su privacidad y en el consecuente deseo de limitar el acceso a la información relativa a su persona. La AEPD entiende que, en el actual estado de la tecnología -al margen de las mejoras técnicas que quepa introducir sobrevenidamente- la adopción del protocolo de la industria denominado "robots.txt" es un método válido para atender las solicitudes de los ciudadanos que, de acuerdo con lo previsto en el Capítulo IV del Título III del RLOPD han ejercitado su derecho de cancelación o de oposición ante un boletín o diario oficial, al considerar que existen motivos que justifican la cesación del tratamiento consistente en permitir la indexación de sus datos publicados en una determinada edición". Fuente: Legaltoday Fecha: 07/09/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

Multan a Caja Laboral por un error en el registro de morosos

Después de finiquitar la hipoteca por medio de la dación en pago, Caja Laboral incluyó por error a un cliente en un fichero de morosos, y le exigió dinero. El error le ha costado a Caja Laboral una sanción de 20.000 €. El origen de los hechos se remonta al año 2009, cuando la entidad acordó amortizar la totalidad de un préstamo hipotecario, por medio de un contrato de dación en pago, al no poder hacer frente el cliente al pago de la deuda. Todo se complicó tiempo después, cuando el cliente comprobó que, a pesar de haberse cancelado la deuda, Caja Laboral había incluido posteriormente su nombre en un Registro de Morosos, y había encargado a una empresa en 2012 que se encargarse de reclamar el cobro de 9.350 €, que decían que debía. El afectado interpuso una reclamación ante la Oficina Municipal de Información al Consumidor, y una denuncia ante la Agencia Española de Protección de Datos (AEPD). Fue entonces, cuando Caja Laboral afirmó que la inclusión en un fichero de morosos se debió a un error, motivado al constar erróneamente como deuda “lo que no se cubría con la valoración del bien dado en pago”, y que se generó indebidamente “un aviso de reclamación y la anotación en el Asnef” Caja Laboral solicitó que se impusiera una sanción de 900 €, al considerar que su infracción era leve. Sin embargo, la AEPD ha considerado que el proceder de Caja Laboral ha sido grave, y ha impuesto una sanción de 20.000 €. Desde el despacho especializado en protección de datos, www.salirdeinternet.com afirman que esta sanción podría haber alcanzado los 300.000 €. Fuente: El Correo Fecha: 08/09/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

Protección de Datos confirma la falta grave del Consistorio sin imponer ninguna medida

La Agencia Española de Protección de Datos (AEPD) considera responsable al Ayuntamiento de Benavente de una falta grave al crear tres ficheros de datos personales sin registrarlos previamente, pero no le impondrá ninguna medida correctora porque tras tener conocimiento del inicio del expediente sancionador incoado por la AEPD el Ayuntamiento rectificó y registró 21 ficheros, entre ellos los tres por los que había sido denunciado, cumpliendo así la ley. Esta es la resolución dictada por el director de la Agencia Española de Protección de Datos, que acaba de abrir el plazo para presentar recurso de reposición o, directamente, recurso contencioso-administrativo ante la sala del mismo nombre de la Audiencia Nacional, en caso de que las partes quieran hacer uso de ese derecho. La resolución de la Agencia Española de Protección de Datos fue notificada a las partes el miércoles y confirma que el Ayuntamiento de Benavente actuó contrariamente a la Ley Orgánica de Protección de Datos pero su decisión de corregir el error y aplicar la ley le ha valido la exoneración de tener que cumplir ningún mandato de la AEPD. El 7 de junio de 2011, el Ayuntamiento de Benavente fue denunciado ante la Agencia por no tener inscritos en el Registro General de Protección de Datos tres ficheros de datos personales. En concreto el Padrón de Tasas de Agua, Basura, Alcantarillado y Depuración; las Licencias Urbanísticas y Ambientales; y un tercero de Expedientes Recaudatorios de Apremio. La infracción atribuida al Ayuntamiento aparece tipificada como grave en la LOPD, que así considera «proceder a la creación de los ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el Boletín Oficial del Estado o Diario oficial correspondiente». En este caso, se denunció la falta de inscripción de determinados ficheros de datos personales por parte de la entidad imputada y en las actuaciones de investigación practicadas se constató que el Ayuntamiento había dictado disposición de creación de los ficheros denunciados. De hecho, la Agencia notificó el acuerdo de inicio del procedimiento sancionador y el Ayuntamiento alegó que «a pesar de reconocer que no tiene inscritos en la Agencia todos los Ficheros que contienen datos de carácter personal, pone de manifiesto su intención de cumplir con la normativa vigente y como muestra de ello adjunta el borrador de disposición General que se incluirá como punto del orden del día en el siguiente pleno que se celebre» El Pleno al que se refiere el Ayuntamiento y en el que se aprobaron los tres ficheros hasta ese momento ilegales y otros 18 más, se celebró el pasado 28 de junio y la propuesta fue aprobada por la unanimidad de la Corporación municipal. Asimismo, el 6 de julio, el acuerdo se publicó en el Boletín Oficial de la Provincia de Zamora, y el 9 de agosto fueron inscritos en el Registro General de Ficheros de la Agencia Española de Protección de Datos, los ficheros creado, entre los que se incluyen los denunciados. «En el presente procedimiento ha quedado acreditada por tanto la infracción del artículo 20 de la LOPD, tipificada como grave. Notificado el acuerdo de inicio de Procedimiento de Declaración de Infracción de Administraciones Públicas, la entidad imputada ha reconocido su responsabilidad y a continuación ha procedido a la publicación de una disposición en el Boletín Oficial de la Provincia de Zamora por la que se crean 21 ficheros de datos personales entre los que se encuentran los denunciados que se han inscrito en el Registro General de Ficheros», concluye la Agencia antes de resolver. Los denunciantes, Fernando Ávila y su familia, han mostrado su satisfacción por el hecho de que la Agencia de Protección de Datos confirmarse que el Ayuntamiento de Benavente cometió una falta grave al crear tres ficheros al margen de la ley, y también por que la corrección de la ilegalidad no le haya reportado a la ciudad ninguna medida sancionador. «Estamos contentos de que los benaventanos no tengamos que soportar una fuerte sanción por la incompetencia de los que dirigen nuestro Ayuntamiento, sabiendo que no la pagarían los que la han cometido. Una vez más se demuestra que, en este caso Fernando Ávila artífice de la primera queja ante la AEPD y como buen conocedor de la LOPD, tenía razón y estamos satisfechos por ello», explicó la familia tras conocer la resolución. Fuente: La Opinión de Zamora Fecha: 08/09/2012
Publicado por en 1 comentario:
Etiquetas: , ,

Denuncian el tráfico fraudulento de datos de accidentados en carretera

Una clínica privada denuncia que en la comarca existe un tráfico fraudulento de datos de accidentados en carretera. El objetivo de esta práctica ilegal es captar o derivar a los pacientes a un centro médico concreto para su rehabilitación, esquivando así el proceso normal que pasa por la libre elección o por la tramitación previa de la compañía aseguradora. Los denunciantes -que quisieron permanecer en el anonimato- afirman que este fraude parte de facultativos de la Sanidad Pública que se saltan la protección de datos y, o bien por dinero o bien porque tienen intereses en los centros privados, derivan a los pacientes a estas clínicas o les facilitan la información para que éstas los capten. Los denunciantes señalan que los casos más flagrantes se han dado en Urgencias de los hospitales donde un médico, al firmar el informe del alta, añadía de su puño y letra la clínica a la que debía acudir el lesionado. Como prueba aportaron a Europa Sur varias copias de estos informes de alta de Urgencia. Estos hechos, afirman, fueron puestos en conocimiento de la Gestión del Área Sanitaria del Campo de Gibraltar hace cosa de un año. Desde el SAS, dicen, les contestaron que iban a distribuir una circular interna para erradicar esta práctica y que les informaran de cualquier caso que detectaran para tomar medidas. La clínica denunciante apunta que desde entonces no les ha llegado ningún caso de una derivación directa por escrito desde Urgencias, pero que tienen constancia de que de forma más disimulada se sigue dando esta práctica. Lo saben, entre otras cosas, por el testimonio de algunos pacientes que llegan o han estado en otros centros. La derivación puede ser verbal por parte del facultativo o tras aportar la información del accidentado a una clínica. En este segundo caso, la captación se realiza vía telefónica. Los denunciantes aseguran que hay pacientes que han recibido una llamada al día siguiente de ser dado de alta de un supuesto "tramitador" que gestiona la visita al centro privado para que inicie la rehabilitación. Aseguran que también se hacen pasar por las aseguradoras y les llaman directamente de la clínica privada. Así, hay veces que cuando la compañía de seguros se entera del alta del cliente, éste ya está recibiendo tratamiento. Esto provoca, incluso, que se den casos de pacientes que están siendo rehabilitados en clínicas de fuera de su municipio pese a que en el suyo existen otras dentro del convenio, lo que supone un gasto añadido por el desplazamiento en ambulancia. Los denunciantes creen que en esta práctica fraudulenta también podrían participar empresas subcontratadas por el SAS que intervienen en los accidentes de tráfico. Este diario se puso ayer en contacto con el SAS para conocer su opinión al respecto. Desde el Área Sanitaria se señaló que este tipo de prácticas "son totalmente irregulares y no están permitidas por la Dirección, quien, en caso de tener conocimiento de algo así procedería a abrir una información reservada". Es más, desde la Dirección del Área de Gestión Sanitaria se instó a quienes sean objeto de algún caso de este tipo "a denunciarlo para poder tomar las medidas oportunas y depurar responsabilidades, porque se considera algo inadmisible". Buena parte de las clínicas están adheridas al convenio de asistencia sanitaria del sector privado de la Asociación Empresarial del Seguro Unespa. Desde la patronal de las aseguradoras señalaron ayer que Unespa negocia con la Federación de Clínicas pero que luego cada centro acuerda con las compañías sus condiciones concretas; por lo que puede haber disparidad de tarifas entre las conveniadas. Los denunciantes aseguran al respecto que, si bien hay tarifas unificadas, para el tratamiento de un latigazo cervical -una de las lesiones más comunes- los precios pueden variar bastante entre los centros, más si cabe si se contrata con una clínica fuera de convenio. Las mismas fuentes añaden que los perjudicados por esta práctica fraudulenta son los pacientes, ya que pueden recibir peor atención o ver cómo prolongan su rehabilitación sin necesidad; y las aseguradoras, que son las que pagan. Asimismo, indican que en caso de que sea una clínica fuera del convenio de Unespa al final el desembolso será de una compañía de seguros ya que los accidentes van directamente por vía judicial y el abogado reclamará la factura que le pasen. Así, cuantas más consultas de traumatología, más sesiones de fisioterapia y más tiempo de rehabilitación, más coste. El procedimiento normal es que el paciente vaya a su compañía de seguros y que ésta le informe de las opciones que tiene, le aconseje la de más confianza o le dé a elegir. La clínica denunciante señala que este fraude se da con especial incidencia en la provincia de Cádiz. No en vano, el número de clínicas adheridas al convenio de Unespa en esta zona es muy superior al del resto de Andalucía, lo que denota la competencia. Así, según la relación de centros de Unespa, en Cádiz hay 60 clínicas privadas adheridas -nueve de ellas en la comarca-, frente a las 21 de Sevilla, las 17 de Málaga, las 6 de Huelva, las 5 de Almería y Córdoba, o las 4 de Granada. Desde Unespa señalaron ayer que son las aseguradoras las que deben detectar este fraude y perseguirlo. Asimismo, fuentes consultadas por este diario de agentes de seguros y compañías aseguradoras indicaron que sí tienen constancia de esta práctica en la comarca. Al igual que la clínica denunciante apuntaron a profesionales de la Sanidad Pública como el punto de partida de este fraude aunque, reconocieron, es complicado de documentar. Coincidieron en que por la información de los accidentados se estaría pagando entre 50 y 150 euros por paciente. La clínica denunciante, además, señaló algunos centros privados que estarían incurriendo en esta práctica; si bien este diario ha optado por no citarlos. Fuente: Europasur Fecha: 15/09/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

Prevención de Blanqueo de Capitales Vs Protección de Datos de Carácter Personal

La ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo al establecer las medidas de control y diligencia debida que deben tener los sujetos obligados por esta normativa, (entendiendo por sujetos obligados aquellos que se encuentran regulados en su artículo 2º y los comerciantes de bienes en cuanto que una operación supere los 15.000 euros), crea una serie de obligaciones de registro y custodia de la documentación que genera este deber de control y por ello, obliga a crear unos ficheros con datos de carácter personal al sujeto obligado, que a lo largo de este artículo vamos a analizar. Igualmente, establece una serie de excepciones a la normativa sobre protección de datos de carácter personal, que también serán objeto de estudio. La primera obligación impuesta por esta ley, la de identificación formal del sujeto contratante, la identificación del titular real, y la prohibición de iniciar relaciones de negocio u operaciones comerciales con personas físicas o jurídicas que no hayan sido debidamente identificadas, obliga a mantener en algún soporte la documentación que justifique que esta obligación se ha materializado (DNI, escrituras….), debidamente escaneadas o fotocopiadas. Esta obligación de soporte documental se extiende al resto de obligaciones impuestas y por ello, exigirá el cumplimiento de lo dispuesto en la normativa vigente de protección de datos de carácter personal. Igualmente, los sujetos obligados deben recabar información de manera previa al inicio de la relación sobre el propósito e índole prevista en la relación de negocios, en concreto deben recabar información que permita conocer la naturaleza de la relación profesional o empresarial y deberán establecer procedimientos de comprobación de veracidad de las actividades declaradas por sus clientes. Pero esta obligación no termina con la comprobación inicial, sino que se obliga a los sujetos obligados a desarrollar labores de seguimiento continuo de la relación de negocios, con el fin de verificar que la documentación e información que se posee es real y está actualizada. Estas medidas de diligencia debida mencionadas en los párrafos anteriores, podrán ser aplicadas en función del riesgo. Además la Ley detalla unos supuestos concretos en los que las medidas serán aplicadas con régimen simplificado (operaciones inferiores a 1000 euros fundamentalmente) o con régimen reforzado de diligencia debida. Cabe igualmente destacar que para el cumplimiento de estas medidas, se puede acudir a terceros para que las apliquen, lo que daría lugar a un acceso a datos y a un encargado de tratamiento, de acuerdo con lo dispuesto en el artículo 12 de la Ley 15/1999 de protección de datos de carácter personal. Uno de estos supuestos especiales a los que aludíamos anteriormente es el de los casinos de juego, que deben identificar mediante documentos fehacientes a todas las personas que pretendan acceder a sus instalaciones o que pretendan realizar alguna de las operaciones descritas en el artículo 7.5. Cabe destacar también el régimen especial para las operaciones y relaciones de negocio no presenciales, puesto que añaden requisitos adicionales a la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico y a la Ley 7/1996 de Ordenación del Comercio Minorista, ya que en los supuestos en los que la relación de negocio u operación se realice por medios electrónicos, telefónicos o telemáticos, no estando presente el cliente, para su validez se requiere que se de alguna de las siguientes circunstancias: que se verifique la identidad del cliente mediante firma electrónica, o que el primer ingreso proceda de una cuenta a nombre del mismo cliente abierta en una entidad domiciliada en España, en la Unión Europea o en un Tercer país equivalente, o que se verifiquen los requisitos determinados reglamentariamente (inexistentes en la actualidad ya que aún no se ha aprobado un reglamento de desarrollo de la presente ley). En todo caso, en el plazo máximo de un mes los sujetos obligados deberán obtener de estos clientes copia de la documentación necesaria para practicar la diligencia debida. Si observan discrepancias entre la información facilitada por el cliente y la documentación que obre en poder del sujeto obligado, será preceptiva la identificación personal. Además los sujetos obligados deben establecer medidas adicionales de diligencia debida en estos supuestos. Cuestión fundamental y que obliga a crear un fichero de datos de carácter personal específico, es el relativo al que contiene la información y documentación de personas con responsabilidad pública. Igualmente para este tipo de clientes se exige tomar medidas de diligencia debida reforzadas, que aumentarán el volumen de información que se trata de estos, medidas cuyo contenido no vamos a entrar a valorar. Se entiende por persona con responsabilidad pública, de acuerdo con lo establecido en el artículo 14 de la Ley: “a) Por personas físicas que desempeñen o hayan desempeñado funciones públicas importantes: los jefes de Estado, jefes de Gobierno, ministros, secretarios de Estado o subsecretarios; los parlamentarios; los magistrados de tribunales supremos, tribunales constitucionales u otras altas instancias judiciales cuyas decisiones no admitan normalmente recurso, salvo en circunstancias excepcionales, con inclusión de los miembros equivalentes del Ministerio Fiscal; los miembros de tribunales de cuentas o de consejos de bancos centrales; los embajadores y encargados de negocios; el alto personal militar de las Fuerzas Armadas; y los miembros de los órganos de administración, de gestión o de supervisión de empresas de titularidad pública. Estas categorías comprenderán, en su caso, cargos desempeñados a escala comunitaria e internacional. Ninguna de estas categorías incluirá empleados públicos de niveles intermedios o inferiores. Sin perjuicio de la aplicación, basándose en un análisis del riesgo, de medidas reforzadas de diligencia debida, cuando una persona haya dejado de desempeñar una función pública importante durante al menos dos años, no será obligatoria su consideración como persona con responsabilidad pública. b) Por familiares más próximos: el cónyuge o la persona a quien se halle ligado de forma estable por análoga relación de afectividad, así como los padres e hijos, y los cónyuges o personas ligadas a los hijos de forma estable por análoga relación de afectividad. c) Por personas reconocidas como allegados: toda persona física de la que sea notorio que ostente la titularidad o el control de un instrumento o persona jurídicos conjuntamente con alguna de las personas mencionadas en la letra a), o mantenga otro tipo de relaciones empresariales estrechas con las mismas, u ostente la titularidad o el control de una persona o instrumento jurídicos que notoriamente se haya constituido en beneficio de las mismas”. Por su parte el artículo 15 regula todo lo relativo al tratamiento de datos de las personas con responsabilidad pública, estableciendo una serie de especialidades y excepciones sobre el tratamiento de datos de carácter personal regulado en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y que en resumen, son las siguientes: - Se pueden crear ficheros e incluir en los mismos datos identificativos de las personas con responsabilidad pública aunque no se mantenga relación comercial con ellos. No es necesario recabar su consentimiento previo incluso si los datos no se obtienen de fuentes accesibles al público. - Los datos contenidos en estos ficheros sólo se pueden usar para el cumplimiento de las medidas de diligencia debida reforzadas previstas en la Ley 10/2010. - Estos ficheros podrán ser creados por terceros distintos a los sujetos obligados con el fin de colaborar con estos últimos en la identificación de las personas con responsabilidad pública. Cualquier otra finalidad distinta en el tratamiento de esos datos está prohibida. - El tratamiento y la cesión de datos queda sujeto a lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y a su normativa de desarrollo. - No es preciso informar a los afectados de la inclusión de sus datos en el citado fichero. - La información incluida en los ficheros deberá ser actualizada continuamente. - Las medidas de seguridad a aplicar al mencionado fichero deben ser de nivel alto. Otro supuesto de especial regulación recae sobre las Fundaciones y Asociaciones, que deberán llevar un registro en el que consten los datos de identificación de todas las personas que aporten o reciban fondos a titulo gratuito. Por último vamos a destacar una serie de obligaciones reguladas en la presente Ley, que introducen especialidades sobre la normativa vigente sobre protección de datos de carácter personal y resumiremos las especialidades reguladas en el artículo 32 que en concreto, regula el tratamiento de datos de carácter personal en aplicación de la Ley 10/2010. A modo de resumen son las siguientes: - Los sujetos obligados examinarán con especial atención y documentarán cualquier operación con independencia de su cuantía que por su naturaleza pueda estar relacionada con el blanqueo de capitales o la financiación del terrorismo. - Si en relación con el examen anterior, se deduce que existe un indicio o certeza que se está blanqueando dinero o se está financiando el terrorismo, los sujetos obligados tienen el deber de comunicar de oficio esta circunstancia a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias. - Los sujetos obligados deberán facilitar la información y documentación que les requiera la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias. - Los directivos y empleados de los sujetos obligados no revelarán a sus clientes ni ha terceros, que se ha comunicado información al Servicio Ejecutivo de la Comisión o, que se esta examinando o que se ha examinado alguna operación susceptible de blanqueo de capital o financiación del terrorismo. - Toda la documentación generada y utilizada en cumplimiento de las obligaciones impuestas por esta Ley, deberá ser guardada, como mínimo, diez años desde la ejecución de la operación o de la terminación de la operación de negocios. Esta información deberá almacenarse en dispositivos ópticos, electrónicos o magnéticos que garanticen su integridad, la correcta lectura de datos, la imposibilidad de manipulación y su adecuada conservación y localización. - Aunque el tratamiento de datos de carácter personal de los ficheros creados al amparo de la presente normativa, estará sujeto a lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su normativa de desarrollo, no será preciso el consentimiento del afectado, ni para tratar los datos del interesado en virtud de las obligaciones de información del Capitulo III de esta Ley, ni para las comunicaciones de datos previstas en el citado Capitulo, y en especial, las mencionadas en el artículo 24.2. De la misma manera, queda el sujeto obligado exonerado del deber de información regulado en el artículo 5 de la Ley Orgánica 15/1999 en relación con las obligaciones recogidas en el apartado anterior y en relación con el deber de no revelación al cliente que se ha comunicado información a la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, vista con anterioridad. - Queda sin aplicación la regulación sobre derechos de acceso, rectificación, cancelación y oposición en lo referente a los tratamientos regulados en esta Ley. En el caso de ejercitarse algún derecho, el sujeto obligado se limitará a reproducir en su contestación esta circunstancia. - Los Órganos Centralizados de Prevención (de las profesiones colegiadas sujetas a esta Ley), tendrán la consideración de encargados de tratamiento. - Las medidas de seguridad a aplicar, serán las de nivel alto. - Para finalizar, se permiten intercambios de información entre sujetos obligados, bien por que la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias las ha autorizado en virtud de las circunstancias excepcionales previstas en un futuro reglamento, bien porque se trata de operaciones reguladas en los artículos 18 y 19 de la Ley y el intercambio se realiza con el único fin de prevenir o impedir el blanqueo de capitales o la financiación del terrorismo, cuando las características u operativa del supuesto concreto desprendan la posibilidad que, una vez rechazada pueda intentarse ante otros sujetos obligados el desarrollo de una operativa total o parcialmente similar a aquella. Estos ficheros deberán adaptar medidas de seguridad de nivel alto, no será aplicable a estos intercambios de información el régimen del consentimiento para las comunicaciones de datos de la Ley Orgánica 15/1999 y el acceso a los datos deberá ser únicamente realizado por los órganos de control interno del sujeto obligado (regulados en el artículo 26 de la Ley) y las autoridades judiciales, policiales o administrativas competentes en la prevención del blanqueo de capitales y financiación del terrorismo. Fuente: Legaltoday Fecha: 16/07/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

Inteco apunta que el 80,4% de las pymes cumplen la norma de protección de datos

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) acaba de publicar el “Estudio sobre la protección de datos en las empresas españolas” http://observatorio.inteco.es en el que se detecta una mejora de protección de datos en las empresas españolas. Para llevar a cabo este estudio, se ha seguido una doble metodología cuantitativa y cualitativa. Se ha realizado una encuesta en todo el territorio español a 1.109 empresas de menos de 250 empleados, y se ha contado con la colaboración de un grupo de expertos y profesionales pertenecientes al ámbito jurídico, académico, a la Administración y al sector de la seguridad de la información, cuyas aportaciones han sido esenciales para contrastar las opiniones recogidas. El estudio recoge un incremento del conocimiento de la LOPD por parte de las pequeñas y medianas empresas, merced, entre otras cosas a la intensa labor divulgativa de las autoridades de protección de datos y al creciente eco en los medios de comunicación de cuestiones como la privacidad y los derechos de los ciudadanos a la protección de sus datos personales. Mejora la protección de datos en las empresas españolas Un 86,4 por ciento de las empresas españolas conoce la Ley Orgánica de Protección de Datos (LOPD) cifra que contrasta con los datos del año 2008, cuando el porcentaje era de un 34 por ciento. Asimismo, el 80,4 por ciento de las empresas encuestadas manifiesta ser consciente de estar sujetas a la normativa sobre protección de datos. La mayoría de las empresas, especialmente las de mayor tamaño, trabaja habitualmente con ficheros con datos personales. Entre las microempresas (sin asalariados o con menos de 10 empleados) el porcentaje es de 73,4 por ciento, mientras que en el segmento de medianas empresas (de entre 50 y 249 empleados) este porcentaje alcanza al 94,3 por ciento. Los ficheros más frecuentes son los habituales en el tráfico empresarial: clientes (94,5 por ciento) y proveedores (80,2 por ciento). También adquieren cierta relevancia los ficheros de nóminas (42,4 por ciento), los archivos para la Seguridad Social (32,6 por ciento) y los currículos de candidatos (32,1 por ciento). En este punto, el grupo de expertos consultados matiza los datos proporcionados por las empresas. Consideran que la lógica empresarial actual haría razonable pensar que toda empresa trabaja, en mayor o menor medida, con datos personales. El hecho de que las empresas consultadas no lo reconozcan así puede ser debido a que estos ficheros sean manejados por asesores fiscales o laborales, que actuarían como encargados del tratamiento. Cumplimiento de las obligaciones de la LOPD La mitad de las empresas españolas manifiesta cumplir con todas las obligaciones que contempla la normativa sobre protección de datos. No obstante, el grupo de expertos considera que el nivel de cumplimiento real de la LOPD es, en la mayoría de los casos, inferior al manifestado por las empresas participantes en la encuesta. En concreto, el 57,5 por ciento de las empresas españolas con ficheros con datos de carácter personal afirma haber realizado la inscripción de los mismos en el Registro General de Protección de Datos. No obstante, teniendo en cuenta el número de entidades de titularidad privada que han registrado ficheros ante la AEPD, se estima que tan solo un 31,8 por ciento de las empresas españolas habría inscrito sus ficheros en la Agencia Española de Protección de Datos. En cualquier caso, se aprecia una mejora importante en el grado de cumplimiento de esta obligación. En 2008, aunque también se apuntaba un desfase entre lo declarado en encuesta y el dato real obtenido en el Registro – frente al 30,3% de las empresas que afirmaba haber inscrito sus ficheros en la AEPD, solo un 16% lo había hecho realmente – este porcentaje, como se observa, era mucho menor. La percepción de la empresa española en cuanto al cumplimiento normativo es optimista: un 72,7 por ciento declara cumplir con el deber de información, un 70,6 por ciento afirma solicitar el consentimiento del interesado, y un 51 por ciento manifiesta adoptar procedimientos para facilitar y garantizar el ejercicio de los derechos ARCO. Los datos de adopción real podrían ser inferiores a los datos declarados en la encuesta. Así, los expertos participantes en el estudio mencionan que las empresas tienden a sobre-declarar su nivel de cumplimiento normativo. Del análisis global de las respuestas obtenidas se evidencia un cierto grado de desconocimiento de las obligaciones reales que tienen las empresas con respecto a la LOPD, que puede hacer que juzguen equivocadamente su grado de cumplimiento. Medidas de seguridad para la protección de datos La percepción de adopción de las medidas de seguridad previstas en el Reglamento de Desarrollo de la LOPD es irregular entre las empresas españolas. Así, coexisten medidas que han sido implantadas de manera generalizada (por ejemplo, el control de acceso a los datos de carácter personal), con otras adoptadas por una minoría de empresas (creación de un registro de incidencias o establecimiento de un protocolo de destrucción de ficheros, por ejemplo). Un 56,9 por ciento de las pequeñas y medianas empresas españolas con ficheros con datos personales manifiesta disponer de un Documento de Seguridad. Además, el 48,6 por ciento de las empresas manifiesta haber organizado sesiones de formación específica sobre protección de datos personales. Otros datos importantes en este capítulo son: el 65,4 por ciento de las empresas españolas manifiesta disponer de un sistema de identificación de los usuarios con acceso a los datos de carácter personal; el 77,2 por ciento afirma haber establecido un sistema de contraseñas para el acceso a los equipos y aplicaciones, el 53,9 por ciento declara disponer de un inventario de todos los soportes, electrónicos y en papel, que contienen datos de carácter personal; y un 61,8 por ciento realiza copias de respaldo con periodicidad semanal. Por el contrario, resulta infrecuente el establecimiento de protocolos de actuación para la destrucción de ficheros; declarado solo por el 37 por ciento de las empresas españolas. También en este caso, los expertos recomiendan cautela a la hora de interpretar los datos, y refieren que el nivel de adopción real de medidas de seguridad es, probablemente, inferior al que declaran las empresas encuestadas. Recomendaciones desde Inteco El análisis concluye con una serie de recomendaciones que buscan aumentar tanto el conocimiento como el cumplimiento normativo en materia de protección de datos por parte de las empresas en España. Entre las propuestas en materia de concienciación y formación: incrementar la intensidad de las acciones de sensibilización, abordar la concienciación desde un enfoque didáctico, no impositivo; adecuar el lenguaje técnico de las disposiciones normativas a una terminología más cercana a las empresas; así como poner en valor el papel de la AEPD. Del mismo modo, como propuestas en materia de diagnóstico e información se plantea: realizar un diagnóstico periódico del tratamiento y la seguridad de los datos de carácter personal en las empresas; y elaborar un sistema de medición y seguimiento de indicadores sobre el estado de la protección de datos en las empresas. Finalmente, en relación al proceso de adecuación y la gestión del tratamiento se propone: facilitar el proceso de adaptación, ofreciendo pautas y herramientas, y asesorar a las empresas con mayores dificultades; establecer requisitos y exigencias acordes al tamaño de la empresa y su actividad; poner mayor énfasis en los aspectos más relevantes, rebajando las exigencias de carácter formal; contar con el apoyo de un tercero en el proceso de adecuación y tratamiento; favorecer la autorregulación de las empresas prescriptoras y facilitadoras; y finalmente, establecer un sello ad hoc para las empresas cumplidoras con la LOPD e impulsar la certificación de la seguridad de la información y confianza digital. Fuente: Leonoticias Fecha: 09/10/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

Conservacion de historias clínicas y proteccion de datos

Respecto de la conservación de datos de carácter personal la normativa española la materia no establece plazos fijos o predeterminados. En este sentido en el artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (en adelante LOPD) se indica que “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” Por lo que cuando los datos personales hayan dejado de ser necesarios o pertinentes deberían ser cancelados o conservados en forma que no permita la identificación del interesado. La cancelación no siempre significa la eliminación física de datos, puede que éstos tengan que ser bloqueados. Para conocer las formas y plazos de conservación de datos de salud y en especial los incluidos en las historias clínicas, la normativa de protección de datos ha de complementarse necesariamente con las previsiones específicas recogidas en el Capítulo V de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y con las otras normas dimanantes de la legislación en materia de Salud Laboral. En este sentido, la Ley 41/2002 establece que la documentación contenida en la historia clínica pueda ser conservada en otro soporte distinto del original, siempre que quede preservada su autenticidad, seguridad e integridad, ya que conforme el artículo 14.2 “cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información”. Por tanto la digitalización de este tipo de documentación no solo es lícita y sencilla en su realización, pero que además garantiza la seguridad y confidencialidad de la información mucho mejor que los medios tradicionales y puede ser una solución para ahorrar el papel y espacio en las clínicas y centros de salud. En relación a los plazos de conservación, el artículo 17.1 de la misma Ley, dispone que “los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial”. En consecuencia, la Ley obliga a conservar los datos de la historia clínica incluso con posterioridad al alta del paciente o al último episodio asistencial, durante el tiempo adecuado para la debida asistencia sanitaria del mismo y, como mínimo, durante cinco años desde cada fecha de alta. La determinación del período de conservación de la información contenida en la misma, sería a criterio del personal sanitario competente respetando en todo caso el plazo mínimo citado. No obstante, la legislación en materia de Salud Laboral, puede determinar otros periodos mínimos de conservación de las historias clínicas, en función de la naturaleza o sector de trabajo de los afectados y riesgos que determinadas tareas laborales pueden tener en la salud de los trabajadores teniendo en cuenta la potencial gravedad y tiempo de latencia entre la exposición y la aparición de síntomas. Según el artículo 22 relativo a la vigilancia de salud de la Ley 31/1995 de Prevención de Riesgos Laborales “En los supuestos en que la naturaleza de los riesgos inherentes al trabajo lo haga necesario, el derecho de los trabajadores a la vigilancia periódica de su estado de salud deber ser prolongado más allá de la finalización de la relación laboral, en los términos que reglamentariamente se determinen.” Y así el Real Decreto 664/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo obliga a almacenar la lista de los trabajadores expuestos y sus historiales médicos durante un plazo mínimo de diez años después de finalizada la exposición pudiendo ser ampliado este plazo hasta cuarenta años en determinados casos. El Real Decreto 665/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes cancerígenos durante el trabajo dispone que la lista actualizada de los trabajadores encargados de realizar dichas actividades y sus historiales médicos deberán conservarse durante 40 años después de terminada la exposición, remitiéndose a la autoridad laboral en caso de que la empresa cese en su actividad antes de dicho plazo. Artículo 9. Documentación El Real Decreto 396/2006, de 31 de marzo, por el que se establecen las disposiciones mínimas de seguridad y salud aplicables a los trabajos con riesgo de exposición al amianto obliga a que los datos relativos a la evaluación y control ambiental, los datos de exposición de los trabajadores y los datos referidos a la vigilancia sanitaria específica de los trabajadores se conserven durante un mínimo de cuarenta años después de finalizada la exposición, remitiéndose a la autoridad laboral en caso de que la empresa cese en su actividad antes de dicho plazo. El Real Decreto 783/2001, de 6 de julio, por el que se aprueba el Reglamento sobre protección sanitaria contra radiaciones ionizantes obliga a que el historial dosimétrico de los trabajadores expuestos, los documentos correspondientes a la evaluación de dosis y a las medidas de los equipos de vigilancia, y los informes referentes a las circunstancias y medidas adoptadas en los casos de exposición accidental o de emergencia, se archiven por el titular de la práctica, hasta que el trabajador haya o hubiera alcanzado la edad de setenta y cinco años, y nunca por un período inferior a treinta años, contados a partir de la fecha de cese del trabajador en aquellas actividades que supusieran su clasificación como trabajador expuesto. Además el titular de la práctica tendrá que facilitar esta documentación al Consejo de Seguridad Nuclear y, en función de sus propias competencias, a las Administraciones Públicas, en los supuestos previstos en las Leyes, además de a los Juzgados y Tribunales que la soliciten. También el Real Decreto 1316/1989, de 27 de octubre, sobre protección de los trabajadores frente a los riesgos derivados de la exposición al ruido durante el trabajo que posteriormente fue derogado por Real Decreto 286/2006, de 10 de marzo obligaba al empresario archivar la documentación correspondiente a la salud de los trabajadores expuestos durante al menos treinta años. Con carácter general, todas estas normas específicas determinaban que si un empresario cesara en su actividad, el que le sucediera recibiría y conservaría la documentación anterior. Si el cese de la actividad se produjera sin sucesión, la empresa lo tendría que notificar a la autoridad laboral competente, dándole traslado de toda la documentación que incluyeran historias clínicas. Por último, cabe mencionar que en el marco de las distintas normas laborales existen también protocolos de vigilancia sanitaria específica que fijan plazos adicionales de conservación de la documentación sanitaria. Los protocolos no forman parte de la legislación pero tienen un gran valor orientativo para empresarios, trabajadores y sus representantes y administraciones públicas competentes en la materia. Fuente: Diariojuridico Fecha: 28/09/2012
Publicado por en No hay comentarios:

La Ley de Protección de Datos, una obligación también fallera

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal supuso una reglamentación con objeto de “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”. En relación a los ficheros no automatizados preexistentes a la entrada en vigor de la LOPD, la ley daba un plazo para su adecuación de doce años a contar desde el 24 de octubre de 1995, plazo que cumpliría el 24 de octubre de 2007. A día de hoy, las comisiones falleras, en un porcentaje bastante alto, y al margen del contrato de cesión a JCF, poco o nada saben al respecto sobre sus actuales obligaciones legales en este tema. Por este motivo hemos querido conocer la opinión de un profesional del ramo, y conocedor a su vez del colectivo fallero, hablamos de José Miguel Aparicio Serrano, consultor, auditor y formador de Ley de Protección de Datos, Ley de Seguridad de la Información, y gerente de la empresa Idees Consultors. ¿En qué afecta la Ley Orgánica de Protección de Datos de Carácter Personal a las comisiones falleras? La ley les afecta de lleno como a cualquier otra asociación, empresa o autónomo, dada la circunstancia de que las fallas manejan gran número de datos personales de falleras y falleros, de menores, de abonados, de colaboradores particulares, de abonados a lotería de reembolso, etc. Todos entran en el ámbito de protección de la LOPD, aun siendo de nivel básico. Una falla, y en concreto su presidente, se convierte de facto en responsable del fichero. Se manejan datos imprescindibles para la gestión administrativa, como cuenta bancarias, así como otros como los antropomórficos, sin ir más lejos la medida de la tan traída banda, y aunque parezca chocante, estaría incluido. Los datos de su censo son cedidos a JCF, siendo el organismo encargado del tratamiento, pero el manejo por parte de la comisión de bases de datos de miembros vigentes conlleva unas pautas específicas que marca la ley, así como el bloqueo de los datos de los falleros que causan baja, y que de forma sistemática se vulneran, no por mala fe, sino por falta de conocimiento. En los procesos de recogida de datos, consentimientos, cesiones, o derechos ARCO, se están cometiendo innumerables errores. ¿Qué obligaciones condiciona la ley a las comisiones falleras? La LOPD condiciona a las comisiones falleras y resto de asociaciones desde que se creó en 1999, obligando a la adaptación de las mismas a través del Real Decreto del 24 de octubre de 2007 para ficheros anteriores a esa fecha. La primera obligación es la comunicación o inscripción de ficheros en la Agencia de Protección de Datos, un paso sencillo que raras veces se cumple, y aunque viene tipificado como falta leve, genera una multa que oscila entre los 900 hasta los 40.000 €. También se debe crear un documento de seguridad en el que se marcarán las pautas a seguir en el tratamiento de datos, así como la gestión documental de acuerdo a Ley. Es algo más complejo, pero nada que no se pueda resolver con una formación adecuada, o delegando en un profesional. Una comisión fallera maneja datos personales equiparables a los de una empresa de considerable tamaño, por lo que hay que dotar de medios y de pautas claras a quienes los manejan, secretarios, tesoreros, y por supuesto al que preside, dado que es quien responde ante cualquier lesión de derechos. ¿Cuáles son las violaciones al honor e intimidad personal y familiar que tipifica la ley relacionadas con el colectivo fallero? Dado mi conocimiento de la fiesta, y desde el punto de vista personal, puedo decirte que a diferencia de en las fallas, en ninguna empresa se da de forma alegre el domicilio y teléfono personal del gerente, dado que es a la sede de la empresa a donde se deberán dirigir. El teléfono personal y domicilio del presidente se convierte en uno de los datos más cedidos, por acción u omisión y peor utilizados. A mí todavía me llegan ofertas publicitarias de empresas que deberían haber bloqueado mis datos en el momento en que dejé la presidencia. Remitir publicidad a través de una fuente obsoleta es una transgresión de la ley. Pero los hay que, desde la inocencia, se convierten en más graves. La cesión del censo de la comisión con datos de domicilios, e incluso bancarios, al encargado de repartir fotografías de la presentación, o lo que es peor, datos del censo infantil a editoriales y otros negocios, o la mala utilización de censos antiguos, cuyos datos debieron ser cancelados. También existe un tema preocupante que es el de la utilización de la imagen de las personas. No es lo mismo utilizar imágenes de menores en la propia web de la falla o su espacio en redes sociales, circunscrito a ese ámbito, aunque los padres o tutores pueden objetar sin más consecuencia que la retirada de la imagen, que “etiquetar” sin consentimiento en esos espacios tras una noche de fiesta. La aparición de las redes sociales está contribuyendo a que muchas denuncias a la AGPD venga motivada por la mala utilización de la imagen personal. ¿Incurren los medios de comunicación en una violación de derechos? No es lo mismo que un medio de comunicación legalmente establecido realice fotografías de un acto como la ofrenda, para insertarlas en su publicación, a que un fotógrafo sin acreditación profesional tome fotografías de niños para luego subirlas a internet o presentarlas en concursos. Luego está el trato informativo que muchas veces se da de determinadas personas, en ocasiones sin contrastar, y que entran dentro del ámbito íntimo de quien es, o de quien se quiere hacer noticia. Nadie se puede amparar en la libertad de expresión para lesionar los derechos de otra persona, y se viene utilizando a menudo esa “supuesta” libertad para hacerlo sin más. Esto lógicamente puede tener consecuencias desde la LOPD y desde otros ámbitos legales. Los “medios” que amparan ciertas opiniones, que en muchos de los casos son medios alegales, no les resta responsabilidad decir que no se identifican con las opiniones de sus colaboradores. Desde luego es un terreno a legislar de alguna manera, dado que ya no se trata sólo de un mero ejercicio de intrusismo hacia las empresas establecidas como medios de comunicación, si no que en muchos casos, vulneran la ley por desconocimiento. La falta de respaldo legal desde una empresa les puede poner en serios aprietos, dado que la LOPD no distingue si quien utiliza la información es un empresario o un amante de la fiesta con ambiciones periodísticas. También cabe destacar que en ocasiones la noticia se convierte en la opinión de quien la transmite, con todas las subjetividades que esto implica. Mi consejo es que se regularice el sector, y mientras tanto, los ajenos a la profesión que no cuenten con un respaldo seguro, se abstengan. No trato de que a la fiesta se le ciña un corsé en cuanto al derecho a que la información fluya sin censura, pero se debe regular de alguna manera, y creo que es papel de Junta Central Fallera. ¿A qué sanciones pueden estar expuestas las comisiones de no cumplir con los requisitos solicitados? La ley habla de sanciones entre 600 a los 600.000 euros. Pero si tenemos en cuenta que una sanción leve, de acuerdo al daño causado, ya habla de hasta 40.000 euros, ya debería hacer pensar a quien no esté cumpliendo con ella. Además, las sanciones impuestas son administrativas, por lo que no existe proceso judicial. E interponer una denuncia es realmente sencillo y barato. En los cursos que impartimos a los empresarios comenzamos mostrando una moneda de 50 céntimos, el valor de un folio, la tinta de impresora, un sobre y un sello. Con sólo esto se pone en marcha la maquinaria legal, y a nadie se le escapa que la agencia se nutre de sus propios recursos económicos, cuando inspecciona ya trae el formulario de sanción cumplimentado. Otra cosa es que podamos defender nuestra inocencia y la mala fe del denunciante, algo que pocas veces se consigue. Y después de la sanción administrativa impuesta siempre existe el derecho a que el denunciante acuda a la justicia ordinaria para resarcirse económicamente, y yendo con una sentencia favorable de la AGPD, tiene todas las de ganar. No es ninguna broma, recalco. ¿Cómo se pueden defender las comisiones ante la vulneración de la ley? Esto es más complejo, dado que las comisiones falleras, como tales, son Personas Jurídicas, y no entran en el ámbito de la ley. No obstante, por el modelo de fiesta que vivimos, que no es exclusivo de las fallas, pocas veces se distingue entre el presidente como representante de una falla de la persona que ostenta el cargo como particular, utilizando sus datos o informando sobre la persona de forma totalmente indistinta, lo cual puede ser totalmente ilegal. Muchas de las transgresiones de la ley vienen dadas, no sólo por la mala utilización de los datos personales, sino por la información que se hace pública. No solamente estamos bajo el amparo de la Ley de Protección de Datos, entramos de lleno en la Ley de Seguridad de la Información (LSSI) que nos habla de la importancia y el poder de la misma, de las responsabilidades de quien la difunde y de su veracidad. Lógicamente, ante una información tendenciosa o mal contrastada, siempre existe la defensa de la justicia ordinaria por daños a la intimidad, al honor y hasta perjuicio económico que se pueda causar como causa de esa mala información. De ahí, que creo que es necesario insisto, y aquí me lloverán críticas, que exista una profesionalización de todos los informadores. Es difícil, pero no imposible. No todo vale, como dije antes al amparo de la supuesta libertad de expresión, por lo que la lógica debe imponerse y cada informador, colaborador, etc. debe utilizar la cautela antes de lanzar a nadie al ruedo, conociendo sus límites profesionales o legales. ¿Cómo pueden conocer las fallas la actual ley y adaptarse a las circunstancias los requerimientos legales? Creo que es una labor divulgativa que debería impartirse desde Junta Central Fallera como organismo rector, y me consta que han emitido algunos comunicados. Deberían seguir la senda emprendida en otros campos, como la prevención de accidentes, etc. También es comprensible que este organismo, por sus características de voluntariedad, no pueda asumir tareas tan complejas por el volumen de trabajo que ya de por si desarrolla. Pienso que la solución pasa por ponerse en manos de profesionales que realicen la adaptación, aunque también es buena solución que los involucrados en el manejo de los datos reciban la formación pertinente. En Idees Consultors estamos recibiendo propuestas desde varias agrupaciones para convocar jornadas de formación a los responsables de secretaría y resto de implicados, de forma prácticamente altruista. Conocemos los recovecos de la fiesta y todos los procesos administrativos de las fallas, por lo que podemos poner nuestro granito de arena, desde el punto de vista profesional. ¿Existe conciencia entre falleras/os de la importancia de sus datos personales? Claramente en el ámbito fallero diría que no. En el ámbito personal o empresarial somos más exigentes con el cumplimiento de cualquier ley. Siempre se ha dicho que por la falla se hace lo que nunca se haría en casa, y es cierto. El ambiente de confianza que se vive en las comisiones, por ser una fiesta, no debe relajar nuestra exigencia para con nuestros datos y el de los menores. Nuestros datos personales cuando los cedemos a la falla confiamos en que serán tratados de forma idónea, pero no dejan de ser puestos en situación de riesgo muchas veces por exceso de confianza o falta de medios. Raro es el presidente, secretario o tesorero que no maneja datos desde su domicilio o trabajo, aunque también es cierto que se cuenta muchas veces con mejores medios fuera que dentro de los casales, y eso hay que valorarlo. También hay que resaltar, que son cuantiosas las comisiones que se interesan por hacerlo de forma debida y muchas otras que cumplen perfectamente para descanso del responsable del fichero, osea el presidente. Esperemos que la información descrita nos sirva para conocer un poco más la actual legislación, y las obligaciones que debemos exigir dentro de nuestras propias comisiones por la seguridad de nuestros datos, y por supuesto, de nuestro bolsillo. Fuente: Fallera Fecha: 04/09/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

¿Puede colocarse información sobre comuneros deudores en el tablón de anuncios de la comunidad?

A menudo nos encontramos con esta pregunta cuando existen morosos en nuestra comunidad pero, para contestar a esta pregunta debemos saber cuándo es necesario poner esta información en el tablón de la comunidad y qué información se puede colocar en éste. Antes de nada, aclarar que no se debe colocar información alguna relativa a ningún piso o local, aunque no lleve ni nombre ni apellidos, si no es en cumplimiento de alguna de las obligaciones que se imponen en la Ley. Por un lado, hay que destacar que, tal y como exigen los artículos 15 y 16 de la LPH, es legal colocar la relación de propietarios morosos en el tablón de anuncios cuando esta relación acompaña a una convocatoria. En tales casos, en la medida en que se trata del cumplimiento de una obligación impuesta en la Ley, dicha publicación o colocación no es ilegal. Entre las obligaciones impuestas por la LPH, se encuentra la de dar publicidad a través de la convocatoria de la junta de propietarios de aquellos que no se encuentren al corriente en el pago de todas las deudas vencidas con la comunidad (lo establece el art. 16.2 LPH). Así, este artículo establece, respecto a la convocatoria de la junta: “la convocatoria contendrá una relación de los propietarios que no están al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el art.15.2 LPH”, lo que conlleva, necesariamente, el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos. Por tanto, la relación de propietarios morosos no se puede poner tal cual en el tablón pues eso sería contrario a la ley, sino sólo cuando se hace la convocatoria aunque, al realizar esta publicación, debemos ser conscientes que estamos realizando una cesión de datos de carácter personal, definida en el art. 3 letra i) LOPD, como toda revelación de datos realizada a una persona distinta del interesado. En relación con la cesión de datos, el art. 11.2 a) LOPD, dispone que los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado, si bien será posible la cesión inconsentida de los datos en caso de que la misma se encuentre fundamentada en lo establecido por una norma con rango de ley. En consecuencia, sólo si la publicación obedece al hecho de que la convocatoria de la Junta, en la que deben figurar los datos a los que se refiere el art.16.2 de la LPH, no ha podido ser notificada a alguno de los propietarios. En este supuesto, la cesión que implica la publicación de la convocatoria en el tablón de anuncios, se encuentra amparada por el art. 11.2 a) LOPD, al estar fundamentada en una norma con rango de ley. Fuente: Mivecindad Fecha: 27/08/2012
Publicado por en No hay comentarios:
Etiquetas: , , ,

Cesión de datos acorde a la LOPD

Esta semana se ha hecho público que la Audiencia Nacional ha estimado la solicitud que en su día realizó la Agencia Tributaria (AEAT) a El Corte Ingles de datos de sus clientes, considerando que es acorde con la Ley Orgánica de Protección de Datos (LOPD). En 2008 el Corte Ingles recibió un requerimiento de información, cursado por el Equipo Central de Información del Departamento de Inspección de la Agencia Tributaria, donde se le solicitaba la lista de los titulares de su tarjeta de compra que realizaron pagos por importe superior a 30.000 euros anuales, durante los años 2006 y 2007. Los datos solicitados eran nombre y apellidos de los clientes o razón social en el caso de empresas, NIF, numero de la tarjeta, importe anual de los pagos realizados y entidad financiera con la que operaba el titular. La cadena de centros comerciales presentó un recurso al Tribunal Económico -Administrativo Central pues consideraba que la información requerida, no tenía trascendencia tributaria y además vulneraba los procedimientos de la Ley General Tributaria. La Ley Orgánica de Protección de Datos dispone: Artículo 11. Comunicación de datos. 1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no será preciso: a) Cuando la cesión está autorizada en una ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. Finalmente en este caso, la Audiencia Nacional considera que la petición de la información, es una herramienta para la lucha contra el fraude fiscal y está al amparo legal de la Ley General Tributaria, la cual establece que las personas físicas y jurídicas deben proporcionar toda clase de datos, relacionados con el cumplimiento de sus obligaciones tributarias. Fuente: blog.misecretariaonline Fecha: 24/08/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

Sanción de 100.000 euros a Telefónica por inscribir a un cliente en el fichero de morosos

La empresa Telefónica ha sido sancionada con 100.000 euros después de que Movistar asignara a un vecino de Torremolinos dos líneas telefónicas sin su consentimiento y le inscribiera en el fichero de morosos por una deuda de 89,46 euros, según un comunicado que fue emitido ayer por el Ayuntamiento del municipio costero. El vecino, C. C. G., denunció los hechos ante la Oficina Municipal de Información al Consumidor de Torremolinos, que ha logrado que la Secretaría de Estado de Telecomunicaciones y la Agencia Española de Protección de Datos le den finalmente la razón. El proceso ha dado lugar a que la agencia de protección de datos imponga dos sanciones de 50.000 euros cada una a la empresa Telefónica Móviles, por la inclusión de este vecino en el fichero de morosos, pese a reconocer la misma empresa el error y anular la facturación, según la nota. La empresa de telefonía le asignó dos líneas de teléfonos móviles y le contrató el Plan de Negocio 12 horas Plus para ambas líneas cuando este vecino no tiene ningún tipo de negocio. Según el comunicado del consistorio, la empresa reconoció que la venta fue telefónica, pero la grabación no demuestra que esta venta fuera cierta, lo que ha dado lugar a la sanción. Precisamente las compañías telefónicas y la tramitación de contratos son generalmente las principales demandadas en las oficinas del consumidor los últimos años ante hermetismo de las compañías y las dificultades para cambiar las condiciones de los contratos o darse de baja en el contrato solicitado. Fuente: Malaga Hoy Fecha: 22/08/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

Protección de Datos certifica al puerto dos infracciones graves por grabaciones de vídeo y audio

La Agencia Española de Protección de Datos (AEPD) ha emitido una resolución en la que pone de manifiesto que la Autoridad Portuaria de Hueva cometió tres infracciones contra la Ley de Protección de Datos de Carácter Personal, (LOPD), siendo dos de ellas de carácter grave y la última de carácter leve. Según reza la reciente resolución, a la que tuvo acceso Europa Press, los hechos se remontan a diciembre de 2010, cuando por entonces una persona denunció ante la Agencia de Protección de Datos las posibles ilegalidades efectuadas desde la Autoridad Portuaria de Hueva al contar con un sistema de videovigilancia en el puerto que abarca varios kilómetros, el cual "podía grabar personas que transitan por dicho espacio e incluso una zona de viviendas" y además indicaba que "el sistema no advierte de la recogida de datos, ni avisa al responsable del fichero ni del ejercicio de derechos". En esta misma línea, la denunciante indicaba que existen tres líneas de teléfono de emergencias, pertenecientes al Centro de Control de la Autoridad Portuaria, que "graban conversaciones", "se almacenan" en un fichero y que "no se informaban de dicha grabación", pero como posteriormente, una vez se produjo la denuncia, comprobó la AEPD que el puerto informaba de la grabación pero "no se comunicaba el motivo y la finalidad" de la recogida de los datos a la persona que llamara a esas líneas de teléfono "ni se hacía referencia alguna a la normativa sobre protección de datos". De este modo, tras la denuncia, la inspección de la AEPD se confirmó que la Autoridad Portuaria había instalado 28 cámaras de video vigilancia y durante la inspección llevada a cabo se detectó que "era posible dirigirlas hacia los edificios cercanos al puerto, pudiendo enfocar mediante zoom óptico, fachadas y ventanas de los citados edificios" e incluso se determinó que algunas cámaras "enfocaban a la vía pública, la calzada de circulación y se podía acercar el enfoque a la vía pública por donde puede transitar a pie o en vehículo cualquier persona". Además, la resolución destaca que los tres teléfonos de emergencias existentes en la Autoridad Portuaria realizaban grabaciones y desde su instalación hacía dos años "no se había borrado ninguna de las llamadas recibidas", a lo que añade que la Autoridad Portuaria tampoco había declarado los ficheros oportunamente ante la Agencia Española de Protección de Datos. Ante la situación descrita, la Autoridad Portuaria modificó su sistema de grabaciones y declaró que las grabaciones que se efectuaban con anterioridad eran necesarias con el fin de garantizar la seguridad. Sin embargo, desde la AEPD afirmaron que "se entiende que en las zonas concretas de admisión o almacenamiento existan sistemas que capten la totalidad del espacio, no así en partes de vía pública a las que pueden acceder cualquier ciudadano sin restricción. Esta captación de imágenes en la vía pública excede el principio de proporcionalidad exigido por la normativa de protección de datos habida cuenta de que se captan imágenes de personas y vehículos en diversas vías públicas". La resolución señalaba que ésta se pondrá en conocimiento del Defensor del Pueblo e instaba a la Autoridad Portuaria a que acreditara en el plazo de un mes una resolución al objeto de que se impida que "en el futuro pueda producirse una nueva infracción". De otro lado, según fuentes del portal especializado en protección de datos www.salirdeinternet.com estas infracciones podrían haber supuesto para una empresa privada una sanción de hasta 640.000 euros. MEDIDAS DE ADECUACIÓN DEL PUERTO Por su parte, desde la Autoridad Portuaria han indicado a Europa Press que a las cámaras se les instaló un sistema de visera al objeto de que sólo se filmara la zona portuaria y se tomaron las medidas correspondientes por lo que la AEPD "quedó satisfecha" con el resultado. Respecto a las llamadas telefónicas, recuerdan que "sólo se graban" aquellas efectuadas al Centro de Control de Emergencias por motivos de seguridad. Fuente: Europa Press Fecha: 16/08/2012
Publicado por en No hay comentarios:
Etiquetas: , , ,

Protección de datos sanciona a Telefónica y Vodafone 14 veces en un mes

Telefónica y Vodafone son inasequibles a la persecucion de la Agencia de Protección de Datos. Sólo en el pasado mes de julio, ambas compañias fueron sancionadas un total de 14 veces por la Agencia, que les impuso una multa global de 611.000 euros. Las violaciones de la Ley de Protección de Datos consistieron, mayoritariamente, en la inclusión en ficheros de morosos de clientes con deudas en algunos casos de cuantía ínfima (5,31 euros, en uno de los casos) y que además, o ya estaban saldadas, o nunca existieron. La compañía presidida por César Alierta está a la cabeza de este escandaloso ranking de sanciones. De las 26 multas impuestas el pasado mes de julio por la Agencia de Protección de Datos, 8 recayeron en Telefónica Móviles. En total, se le impusieron 261.000 euros de sanción, al acumular multas que iban desde los 1.000 a los 90.000 euros. El caso más grave correspondió a un cliente de Murcia que denunció que la compañía dió de alta cuatro líneas de móviles usando sin su consentimiento sus datos personales. Ello generó que se le imputase una deuda por un servicio no contratado, y la inclusión de sus datos en un fichero de morosos. Primero, en abril de 2011, denunció los hechos ante la Comisaría de Policía, y posteriormente, en julio del mismo año, ante la Oficima Municipal de Información al Consumidor de Murcia. Teléfonica incorporó a sus sistemas informáticos datos personales del denunciante (nombre, apellidos, número de DNI, domicilio) asociados a unas líneas de telefonía móvil de las que no era titular. Por ello, el tratamiento posterior de esos datos, materializado en la emisión de facturas por unos servicios que el denunciante no contrató determinó que la operadora le imputara una deuda "que no era cierta, ni vencida ni exigible". También queda acreditado que TME (Teléfonica Móviles España) reclamó el pago de 2 cantidades al cliente sobre las líneas controvertidas por un importe de 44,84 euros y 21,71 euros. Posteriormente, ante el impago de la deuda generada, la compañía comunicó a los ficheros de solvencia patrimonial ASNEF y BADEXCUG una incidencia asociada a los datos personales del denunciante por un importe de 66,55 € (44,84€ + 21,71€), cantidad que coincide con la suma de las facturas emitidas en las líneas objeto de controversía. La Agencia aprecia en Telefónica una grave falta de diligencia porque dió de baja las líneas controvertidas el 24 de junio de 2011, y sin embargo 3 meses después el 4 de octubre de 2011 y el 12 de octubre de 2011, dió de alta los datos personales del denunciante en los ficheros de morosos. En consecuencia, los datos personales del denunciante fueron incluidos en esos archivos "vinculados a una deuda a la que era ajena el denunciante"; deuda que no era cierta, ni vencida ni exigible desde la perspectiva del afectado, por cuanto no tenía la condición de deudor ya que él no había prestado su consentimiento para el alta de las líneas controvertidas. La consecuencia fueron dos multas por infracción grave a la Ley de Protección de Datos, que supusieron una sanción pecuniaria total de 90.000 euros (50.000 más 40.000). Vodafone, 350.000 euros de multa Pero Vodafone hace buena competencia a Telefónica en esta materia de violaciones de la Ley de Protección de Datos. El pasado mes de julio, acumuló seis sanciones, por un importe total de 350.000 euros. Y además bate el récord con dos multas de 100.000 euros cada una. En uno de los casos, denunciado en Almería, la compañía reclamó a un cliente el pago de un servicio de telefonía que no tenía contratado, y, al no cobrar --lo que obviamente no le correspondía-- incluyó al denunciante en el fichero de morosos. La segunda sanción se originó en Cádiz. Vodafone reclamó a un cliente 62,77 euros por una línea que no tenía contratada, y al no pagar, puso también su nombre en un archivo de morosos. Otra compañía telefónica sancionada en julio por casos similares fue France Telecom, con 80.000 euros de multa. Con lo que, de las 26 sanciones, 16 fueron para telefonicas. Estas compañías llevan más de un lustro acaparando las sanciones a la Ley de Protección de Datos, y continúan incurriendo en las mimas prácticas, sin que las sanciones hayan tenido ningún efecto disuasorio sobre las mismas. Fuente: Publico.es Fecha: 09/08/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

Los Recursos Humanos frente a la LOPD

Cuando hablamos del mundo de la protección de datos, vemos que está en continuo desarrollo, en continuo cambio, al igual que nuestra sociedad. Eso hoy en día está bien pues es la mejor manera de adaptarnos a las situaciones que en cada momento existan pero cuando al cumplimiento de las leyes nos referimos podemos tener un problema puesto que se convierte en tarea casi imposible el estar actualizados. La Ley Orgánica de Protección de Datos (en adelante LOPD) está presente en todos y cada uno de los departamentos que forman las empresas puesto que siempre habrá datos que proteger. Ahora bien, cuando nos referimos a los Recursos Humanos debemos hilar muy fino. Hasta ahora se ha tratado dicho departamento como uno más, cuidado pues para la realización de las labores correspondientes a este departamento se puede tener acceso a datos de carácter personal llegando incluso a calificarse alguno de ellos como “especialmente protegidos”, lo que requeriría un tratamiento especial así como la aplicación de las medidas de seguridad que la ley fija para cada nivel, siempre en función de que datos se esté manejando. Me gustaría poder explicaros con más detenimiento el procedimiento que debería seguir cualquier departamento de Recursos Humano en cuanto a la LOPD pero es una ardua tarea y necesitaríamos muchos más tiempo para hacerlo. Por ello lo que voy a hacer es destacar los principales pilares de la LOPD a tener en cuenta cuando al departamento de recursos humanos nos referimos. El primero de los pilares será el Derecho a la Información, este derecho se deberá dar siempre en la recogida de datos y viene marcado por artículo 5 de la LOPD. Nos referimos a que cuando se lleve a cabo una selección de personal deberemos darles un documento elaborado específicamente para informar a los candidatos de para que se están recogiendo sus datos y que se va a hacer con ellos posteriormente. A modo de ejemplo, si la recogida se lleva a cabo mediante formularios que forman parte de la página web de las empresas, también se deberá informar a los candidatos previamente a la recogida y éstos deberán de aceptar y consentir la finalidad que se le vaya a dar a dichos datos antes de continuar con la introducción de los mismos. Cuando se procede a informar, les comunicaremos también la existencia y posibilidad de ejercer los derechos arco (Acceso, Rectificación, Cancelación y Oposición). El segundo de los pilares será el Principio de Calidad de los datos, los datos serán exactos, pertinentes y no excesivos. Los datos que recojamos deberán ser los justos y necesarios para desarrollar la función que tenemos asignada, es decir, nunca recabaremos más datos de aquellos que necesitemos para el fin que nos ocupe y siempre enmarcándolos en el contexto de la relación laboral. Este principio debemos hacerlo extenso a todos los ámbitos. Continuando con la relación laboral que nos ocupa veamos un ejemplo: si la empresa quiere felicitar a los empleados en fechas señaladas o enviarles publicidad, previamente deberá recoger autorización específicamente para ello, no será suficiente la genérica o la justificación de la relación laboral existente. Y por último, aunque no menos importante el Deber de Secreto, éste se dará desde el momento mismo en que el empleado firma el contrato, empieza a formar parte de la empresa y tiene acceso a toda la información que circula por la misma. Es por ello, por ese acceso a datos manejados por la empresa, por lo que se debe guardar secreto profesional, de hecho la posibilidad de revelar datos secretos por cualquier persona que los maneje está contemplado también en el Código Penal, en el art. 197 siempre que esa obtención de datos se realice sin consentimiento del interesado y puede desencadenas en pena de prisión de entre tres y cinco años. Hoy en día las redes sociales están ganando terreno a las relaciones sociales y laborales que venían siendo habituales hasta la fecha. De lógica es que este comportamiento se ha extendido también al funcionamiento de los Recursos Humanos, por lo que deberemos tenerlas en cuenta en los procedimientos que desde éste departamento llevemos a cabo. Las redes sociales son utilizadas cada vez más a menudo para cualquier tipo de acción, esto nos lleva a poder afirmar que la mayoría de candidatos entre los que vamos a tener que escoger tiene un perfil en varias redes sociales. Esta nueva manera de actuar nos lleva a encauzar las indagaciones en dirección a las mismas para poder averiguar más datos de los candidatos, cuando esta práctica se hace de modo legal, mayoritariamente buscando en LinkedIn u otras redes profesionales podríamos decir que no hay problema, siempre y cuando el titular de los datos nos otorgue consentimiento para ello. Ahora bien, se están llevando a cabo prácticas enmarcables en acciones que un buen profesional no llevaría nunca a cabo, tales como solicitarle al candidato la clave de sus redes sociales para poder ver sus perfiles, gustos, opiniones,…. Evidentemente en estos casos, aunque se cuente con el consentimiento de los titulares nos encontraremos ante una ilegalidad puesto que podríamos ver datos que el titular no ha querido hacer públicos y por lo tanto no tendremos derecho a acceder a ellos. Incluso si queremos ir más allá puede conllevar la suplantación de identidad del individuo situación que sería delictiva. Por ello y por las convicciones de cada uno, estas prácticas no deberían de realizarse pues atentan contra la intimidad de los candidatos. Esta práctica, ver las redes sociales profesionales (LinkedIn), sería lícita siempre que accedamos únicamente a aquellos datos que son públicos y siempre en una medida proporcional a la necesidad para saber si el candidato es el adecuado para el puesto y si los datos profesionales son los que nos interesan. Por último hacer una reflexión. Un buen experto en Recursos Humanos nunca empleará medios ilícitos a la hora de desempeñar su trabajo, pero debéis ir con cuidado. Igual que he destacado algunos de los pilares básicos, son muchas las medidas que debéis llevar a cabo a la hora de cumplir con la LOPD debido a la posibilidad de acceso a datos de nivel alto y al continuo manejo de los mismos. Por ello debéis exigir que el cumplimiento de la LOPD en los departamentos de recursos humanos sea una realidad pues los responsables somos todos, en un futuro pueden ser tus datos los que necesiten ser protegidos. Fuente: Ana Vicente RH Media Fecha: 26/07/2012
Publicado por en No hay comentarios:
Etiquetas: , ,

LOPD: "Las múltiples caras de Facebook".

Recientemente, tras la adquisición de la compañía israelí Face.com por parte de Facebook, el gobierno americano ha tomado cartas en el asunto evaluando el servicio de reconocimiento facial en el entorno de las redes sociales como un potencial peligro para la privacidad de sus usuarios. Este nuevo servicio de reconocimiento facial, no operativo todavía en nuestro país, consiste en sugerir el nombre de los amigos que la aplicación reconozca en fotos que los usuarios suben a su cuenta de Facebook, para que éstos sean etiquetados en dichas fotos. Ante este hecho, la Federal Trade Comission estadounidense ha decidido emitir a finales del 2012 un informe donde se recomendarán una serie de buenas prácticas para el uso de estas tecnologías de manera que jurídicamente se respete la privacidad del consumidor. Ahora bien, este nuevo servicio de Facebook, no sólo será utilizado en el entorno norteamericano, pues la problemática se extiende a lo largo y ancho del planeta, incluyendo a los usuarios de Facebook en España. La cara buena de este servicio, es que, a través de una imagen se puede obtener información y la identificación de datos personales de un individuo, en muchos casos con fines beneficiosos para el conjunto de la sociedad, en sectores como la medicina (identificación facial de la emoción en el campo de la psicología) o en el de la seguridad ciudadana (seguimiento de sospechosos o investigación criminal). Sin embargo, la cara mala es que dichos datos personales obtenidos a través de un reconocimiento facial, pueden ser objeto de graves abusos, si no se adoptan las suficientes medidas protectoras de la privacidad. En el caso de las etiquetas de Facebook, por el momento, las autoridades de protección de datos europeas no se han pronunciado respecto al sometimiento de la compañía norteamericana, a la normativa comunitaria (Directiva 95/46/CE), lo que supone una incertidumbre jurídica y un problema de aplicabilidad, por cuanto que la imagen de una persona es considerada plenamente como dato de carácter personal. En este sentido, recientemente, el Grupo de trabajo del Artículo 29 (grupo consultivo compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea) en suDictamen 02/2012 de Reconocimiento Facial en Servicio en línea y móviles, ha señalado los riesgos que entrañan este tipo de servicios para la privacidad, principalmente, en los supuestos de tratamientos de imágenes de forma ilegal, violaciones de la medidas de seguridad o falta de precisión en la identificación del sujeto. Así, en dicho Dictamen se expone claramente como solución previa a la utilización de este servicio, la necesidad de que exista un consentimiento previo e informado de los usuarios para el tratamiento de las imágenes digitales en el sistema de reconocimiento facial. A mayor abundamiento, señala el Dictamen que el consentimiento otorgado no puede ser derivado de una aceptación general de las condiciones del servicio, por lo que deberá ofrecerse a los usuarios la información específica sobre el funcionamiento del reconocimiento facial de manera clara, accesible e independiente. Por tanto, antes de que un usuario registrado en Facebook suba una imagen a la aplicación, primero deberá ser claramente informado de que estas imágenes estarán sujetas a un sistema de reconocimiento facial, sin que haya posibilidad de no ver o evitar el mensaje informativo. Además, el Dictamen añade que a los usuarios que ya estén registrados en el servicio de reconocimiento facial también se les deberá solicitar su consentimiento para que su plantilla de referencia de identificación facial sea registrada en la base de datos de identificación. Respecto a los usuarios no registrados y usuarios registrados que no hayan dado su consentimiento al tratamiento de sus datos con esta finalidad, no se les podrá sugerir automáticamente una etiqueta a su nombre. Sin embargo, en algunos casos, el responsable del fichero, en este caso Facebook, puede, de forma temporal, realizar algunos procesos de reconocimiento facial, precisamente, con el propósito de evaluar si un usuario ha dado su consentimiento o no como base jurídica para el tratamiento de sus datos. Los datos tratados, durante esta fase deberán ser utilizados con el único fin de verificar el consentimiento del usuario y, por lo tanto, deben ser eliminados inmediatamente después de su comprobación, en caso de que el usuario no esté en la base de datos de consentimientos otorgados. Esto es así, debido a que sólo es posible distinguir entre los rostros de los usuarios registrados que tenían y no había dado su consentimiento antes de haber efectuado el reconocimiento facial. Sólo después de que la identificación haya tenido lugar (o la falta de identificación) el responsable del fichero será capaz de determinar si tienen o no el consentimiento apropiado para el procesamiento específico. En cuanto a las medidas de seguridad, los prestadores de estos servicios deben asegurar y garantizar que las imágenes digitales de los usuarios y las plantillas de reconocimiento facial son utilizadas únicamente para la finalidad prevista, así como que adoptan las medidas adecuadas para garantizar la seguridad de las mismas. Así, Facebook debería implantar las herramientas que permitan a los usuarios controlar la visibilidad de sus imágenes por parte de terceros, para lo cual aún queda mucho camino por andar. Como conclusión, podemos afirmar que el uso de tecnología de reconocimiento facial debe contar, con carácter previo al uso del servicio, con el consentimiento informado del afectado -incluso expreso en determinados casos-, y el prestador del servicio deberá tomar una serie de precauciones desde el punto de vista de la normativa sobre protección de datos y de protección de la intimidad y de la propia imagen, puesto que es el responsable de los datos. En caso de no cumplir con los requisitos expuestos, esta nueva funcionalidad supondría un riesgo para los usuarios de Facebook, por cuanto que la protección de su privacidad no quedaría garantizada. Fuente: Legaltoday
Publicado por en No hay comentarios:
Etiquetas: , ,

Sanción a UGT por revelar 200 correos electrónicos

La Agencia Española de Protección de Datos ha estimado la denuncia de una afiliada de UGT frente a la Federación de Servicios Públicos de UGT, por mandarle correos electrónicos sin copia oculta junto a 200 personas más. En junio de 2011 la Agencia de Protección de Datos (AEPD) recibió la denuncia de una afiliada a UGT, exponiendo que había recibido diez correos electrónicos de la FSP-UGT, en los que constaban 200 personas incluidas sin copia oculta por lo que (según la denunciante), “todas las personas incluidas en la lista de correos conocerían desde ese momento su afiliación sindical” Una vez que la AEPD admitió a trámite la denuncia indicada, la Federación de UGT afirmó durante el expediente de inspección de la AEPD: “…Reconocemos que alguien de Ia Federación ha cometido el error de enviar una serie de correos electrónicos a los afiliados sin copia oculta, a pesar de las claras instrucciones de Ia organización a todos los niveles para que se utilice siempre. Lo que llama poderosamente la atención es Ia utilización, absolutamente espuria, que hace la denunciante del mencionado error máxime cuando ella ha ocupado un cargo en la Federación durante más de año y medio, que finalizó seis días antes de recibir el primer correo electrónico (…)" Según informa la Resolución de la AEPD, gracias al envío de UGT “se visualizaban datos personales presuntamente de afiliados o simpatizantes de la Federación (nombres, apellidos y direcciones de correo electrónico), por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD, habiéndose realizado la infracción de forma continuada”. Por todos estos motivos la AEPD ha acordado imponer una sanción de 1.000 a la Federación de UGT, tipificada como leve en el artículo 44.2.e) de conformidad con lo establecido en el artículo 45.1 de la LOPD. Desde Salirdeinternet.com destacamos que UGT reconoció el envío a los "afiliados" y sin embargo, fue la propia AEPD quien puso en duda que todos los incluidos en el email tuviesen la consideración de afiliados. La sanción ha tenido en cuenta la vulneración del artículo 10 de la LOPD, que consagra el “deber de secreto” que tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones no consentidas por los titulares de los datos. Fuente: Salir de Internet Fecha: 24/07/2012
Publicado por en No hay comentarios:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)