La Agencia Española de Protección de Datos ha obligado al Ayuntamiento de Nerja a retirar unas cámaras de videovigilancia instaladas sin autorización oficial en la sede de la Jefatura de la Policía Local, situada en la avenida de Pescia. La resolución del organismo público se produce a raíz de una denuncia interpuesta por la sección local del Sindicato Independiente de la Policía Local de Andalucía (SIP-AN) en marzo de 2011.
El equipo de gobierno del PP en el Consistorio nerjeño ya ha acatado la resolución y desde las 13.00 horas del pasado 20 de enero, las cámaras de videovigilancia «están desconectadas y fuera de servicio», según informaron ayer a este periódico fuentes municipales, que declinaron entrar en valoraciones respecto a este asunto.
En el expediente remitido por la Agencia de Protección, al que ha tenido acceso SUR, se recoge que ha quedado acreditado que las dependencias policiales del municipio axárquico tenían instaladadas unas cámaras de videovigilancia «que captaban imágenes de la vía pública, sin contar con legitimación para el tratamiento de los datos personales captados por dichas cámaras, al carecer de la pertinente autorización administrativa».
De esta forma, «la entidad denunciada deberá acreditar, en el plazo establecido, que la instalación de videovigilancia cumple con los requisitos exigibles en la Ley Orgánica de Protección de Datos (LOPD) y en la instrucción 1/2006, y en concreto deberá proceder a tramitar la autorización gubernativa prevista para la captación de imágenes en la vía pública por parte de los Cuerpos y Fuerzas de Seguridad, procediendo, entre tanto, a la retirada o reorientación de las cámaras de manera que no capten la vía pública».
Sin embargo, las fuentes municipales consultadas ayer no aclararon si se están o no tramitando estos permisos por parte del Ayuntamiento, y se limitaron a reiterar que las cámaras de videovigilancia de la sede de la Jefatura de la Policía Local «no están ya en funcionamiento», a raíz de tener conocimiento de esta resolución de la Agencia Española de Protección de Datos, que tiene fecha de registro de salida del pasado 24 de febrero de 2012.
Un asunto polémico
Finalmente, el organismo público declara que el Ayuntamiento de Nerja ha infringido los artículos 6.1 y 5 de la mencionada LOPD, tipificadas como faltaS grave y leve, respectivamente, en los artículos 44.3 y 44.2 de la modificación de la citada norma de carácter orgánico. Asimismo, la Agencia Española de Protección de Datos ha requerido al Consistorio nerjeño para que, de acuerdo con lo establecido en el apartado 3 del artículo 46 de la Ley 15/1999, acredite, en el plazo de un mes desde la notificación, las medidas de orden interno adoptadas para evitar que en el futuro pueda producirse una nueva infracción de los artículos 6.1 y 5 de la LOPD, para lo que se abre un expediente de actuaciones previas».
La instalación de cámaras de videovigilancia en las calles, plazas y edificio públicos de los municipios malagueños es un asunto que no ha estado exento de polémicas en los últimos años, por las quejas acerca de la posible violación del derecho a la intimidad de los viandantes. En el caso de la capital, el Ayuntamiento sí ha conseguido permisos y las ha instalado en varias calles, algo que aún están estudiando otros consistorios de la provincia como Marbella, Vélez-Málaga o el mismo Nerja.
Fuente: diariosur
Fecha:28/03/2012
jueves, 12 de abril de 2012
RRHH: La privacidad en las Redes Sociales, fundamental
Con el desarrollo de las tecnologías y su incuestionable avance se ha producido una nueva forma para buscar empleo, pero al mismo tiempo gracias a las Redes Sociales se produce una cierta pérdida de privacidad que en algún momento puede llegar a perjudicar a un candidato.
Por todos estos motivos hemos querido saber y la primera cuestión que hemos trasladado a los expertos consultados ha sido: ¿Es legal pedir la contraseña de una red social en una entrevista de trabajo?
Javier Ayuso, director general de Unique ha comentado al respecto que “No es legal. Pedir una contraseña a otra persona implica que se puede suplantar su identidad y dicha suplantación de identidad es un delito. Adicionalmente por la ley de protección de datos (LOPD) se estarían facilitando datos personales que no corresponde facilitar a nadie. Y finalmente se estaría vulnerando el derecho a la intimidad, el cual es un derecho fundamental recogido en la constitución española.
Por su parte, Javier Cantera, presidente del Grupo BLC, ha subrayado que El desarrollo de la legislación sobre la selección 2.0 falta desarrollo en muchos aspectos pero principalmente en tres vertientes:
1. Protección del candidato de datos personales.
2. Verificación de las referencias on line.
3. Desarrollo de la imagen del candidato longitudinalmente (derecho al olvido).
Sería necesaria la estipulación de un código deontológico de selección 2.0 para evitar compartir datos de candidatos (situación asimétrica de poder), dar verificación a los datos introducido por las personas (sistemas de homologación y certificación de datos) y posibilidad de cambio de la imagen histórica en las redes sociales.
El tercer experto en contestar fue Rodrigo Baraona, director de división de Selección de Personal de Tega Cegos que ha resaltado que “si alguna empresa solicita la contraseña de una red social durante un proceso de selección, está incurriendo en una ilegalidad, máxime si con la solicitud el candidato no aprueba tácitamente la cesión de datos. Al obtener la contraseña del candidato, el técnico que está realizando el proceso de selección, podrá acceder a datos que el candidato no ha querido hacer públicos voluntariamente. El hecho de coaccionar al candidato para revelar la contraseña utilizada en una red social, no lo contempla la LOPD, pero sí podría ser constitutivo de delito, al atentar contra el derecho al honor e intimidad del candidato”.
En segundo lugar, quisimos conocer ¿Hasta dónde puede llegar una empresa para conocer el entorno del candidato?
Javier Ayuso resaltó que “lo que se hace desde los departamentos de recursos humanos es contactar, por ejemplo, con antiguos colaboradores, superiores o colegas de trabajo, ya que la faceta laboral es la que realmente interesa a la persona que está buscando un empleado para cubrir un puesto de trabajo. En estos casos, además, lo normal es comentar con el candidato si se pueden pedir referencias o avisarle de que igual se piden… Esta es la práctica más extendida.
Dicho esto también es cierto que la búsqueda de información en Redes Sociales o Internet puede ocurrir. En estos casos se pueden obtener datos que aportan información sobre algunas de las capacidades de ese candidato. Por ejemplo, si ha publicado algún tipo de artículo, estudio o informe puede aparecer en internet. Si el candidato ha ejercido como portavoz en otras empresas para las que ha trabajado también puede saberse a través de internet e incluso quizás visualizar posibles entrevistas en televisión… Si nos centramos más en las Redes Sociales, los grupos a los que pertenece ese candidato pueden ofrecer información sobre los gustos e intereses de esa persona, si bien, ésta es una información que por lo general se extrae más de redes sociales profesionales que de otro tipo”.
Por su parte, Javier Cantera expuso que “la huella digital es un buen índice de predicción de tu valía personal. Principalmente así diferenciamos entre redes sociales profesionales y redes sociales en general. Yo creo que la historia profesional reflejada en grupos de Linkedin, en tus blogs profesionales o en tus debates de twitter si que es un modelo adecuado para seleccionar un candidato”.
Por último, Rodrigo Baraona comentó que “en todo proceso de selección se busca conocer a los candidatos para emitir un juicio sobre si se ajusta o no al puesto vacante. Para ello, se realizan entrevistas, pruebas psicotécnicas, dinámicas de grupo, etc. De la misma manera, la identidad digital de un candidato, es una fuente de información más, que aporta muchos elementos, que él mismo ha subido a la red a través de sus diferentes perfiles profesionales o personales. Por lo tanto, quien está realizando un proceso de selección, recurre a todos estos canales de información para tener una visión completa del candidato, incluido el perfil público de las redes sociales.
Luego, otra práctica relativamente frecuente en los procesos de selección, es la petición de referencias profesionales, lo cual, sólo se podrá hacer si el candidato da su aprobación explícita. Idealmente, el candidato debería identificar a quiénes se les va a pedir las referencias. La LOPD exige que para tratar datos de otras personas físicas, hay que solicitar su consentimiento, aunque sean referencias estrictamente laborales. Y dichas referencias tendrán que respetar el principio de proporcionalidad, es decir, sólo se podría solicitar información que permita determinar si el candidato es adecuado o no para el puesto al que postula, excluyendo aspectos no profesionales.
Para terminar, la última cuestión que quisimos plantear a nuestros expertos fue si ¿Es determinante lo que el candidato pueda expresar en las redes sociales?
Javier Ayuso contestó que “un buen experto en recursos humanos se centra en buscar la persona que mejor encajaría en un puesto de trabajo determinado. Y en ese proceso de valoración influyen múltiples variables es un proceso que consta de varias partes, no de una sola.
No se debería tomar una decisión con sólo una carta de la baraja. Es obviamente más responsable y prudente valorar el conjunto de la información disponible (CV, posibles recomendaciones, entrevista personal, pruebas psicotécnicas, etc) y conforme a eso tomar una decisión. Como aspecto importante a resaltar, es conveniente que cualquier persona que esté en redes sociales tenga claro el perfil publico que deja ver a cualquier persona y el perfil que deja ver a su círculo más intimo”.
Por su parte Javier Cantera ha destacado que “indudablemente, la imagen social en entorno virtual se constituye como una tarjeta de visita muy adecuada en estos momentos. Por otra parte, nunca puede encontrarse en exclusiva y debemos utilizar formas de contraste personal. Creo que eliminar a un candidato (un buen candidato) por su imagen virtual sería caer en un visión reduccionista de las redes. Las redes sociales son un acento de tu imagen personal que debe dar un nivel a tu desarrollo personal, pero nunca ser la única referencia en el reclutamiento de un candidato”.
Para terminar, Rodrigo Baraona ha indicado que “la consulta de las redes sociales por parte de quienes están haciendo selección de personal, hoy por hoy, es una práctica frecuente. Por lo tanto, puede ser determinante en un proceso de selección. Sin embargo y a pesar que la LOPD no establece nada específico al respecto, habría que considerar que esta práctica puede tener implicaciones denunciables.
Teniendo en cuenta que lo que uno escribe en una red social, igual que en cualquier otro medio, puede entenderse como el libre ejercicio de libertad de expresión, la discriminación explícita de candidatos basándose en imágenes u opiniones publicadas las redes sociales, en algún caso, podría suponer la violación de la normativa vigente en lo relativo a la discriminación por ideología, religión, etc”.
Fuente:RRHHDigital.com
Fecha: 30/03/2012
Por todos estos motivos hemos querido saber y la primera cuestión que hemos trasladado a los expertos consultados ha sido: ¿Es legal pedir la contraseña de una red social en una entrevista de trabajo?
Javier Ayuso, director general de Unique ha comentado al respecto que “No es legal. Pedir una contraseña a otra persona implica que se puede suplantar su identidad y dicha suplantación de identidad es un delito. Adicionalmente por la ley de protección de datos (LOPD) se estarían facilitando datos personales que no corresponde facilitar a nadie. Y finalmente se estaría vulnerando el derecho a la intimidad, el cual es un derecho fundamental recogido en la constitución española.
Por su parte, Javier Cantera, presidente del Grupo BLC, ha subrayado que El desarrollo de la legislación sobre la selección 2.0 falta desarrollo en muchos aspectos pero principalmente en tres vertientes:
1. Protección del candidato de datos personales.
2. Verificación de las referencias on line.
3. Desarrollo de la imagen del candidato longitudinalmente (derecho al olvido).
Sería necesaria la estipulación de un código deontológico de selección 2.0 para evitar compartir datos de candidatos (situación asimétrica de poder), dar verificación a los datos introducido por las personas (sistemas de homologación y certificación de datos) y posibilidad de cambio de la imagen histórica en las redes sociales.
El tercer experto en contestar fue Rodrigo Baraona, director de división de Selección de Personal de Tega Cegos que ha resaltado que “si alguna empresa solicita la contraseña de una red social durante un proceso de selección, está incurriendo en una ilegalidad, máxime si con la solicitud el candidato no aprueba tácitamente la cesión de datos. Al obtener la contraseña del candidato, el técnico que está realizando el proceso de selección, podrá acceder a datos que el candidato no ha querido hacer públicos voluntariamente. El hecho de coaccionar al candidato para revelar la contraseña utilizada en una red social, no lo contempla la LOPD, pero sí podría ser constitutivo de delito, al atentar contra el derecho al honor e intimidad del candidato”.
En segundo lugar, quisimos conocer ¿Hasta dónde puede llegar una empresa para conocer el entorno del candidato?
Javier Ayuso resaltó que “lo que se hace desde los departamentos de recursos humanos es contactar, por ejemplo, con antiguos colaboradores, superiores o colegas de trabajo, ya que la faceta laboral es la que realmente interesa a la persona que está buscando un empleado para cubrir un puesto de trabajo. En estos casos, además, lo normal es comentar con el candidato si se pueden pedir referencias o avisarle de que igual se piden… Esta es la práctica más extendida.
Dicho esto también es cierto que la búsqueda de información en Redes Sociales o Internet puede ocurrir. En estos casos se pueden obtener datos que aportan información sobre algunas de las capacidades de ese candidato. Por ejemplo, si ha publicado algún tipo de artículo, estudio o informe puede aparecer en internet. Si el candidato ha ejercido como portavoz en otras empresas para las que ha trabajado también puede saberse a través de internet e incluso quizás visualizar posibles entrevistas en televisión… Si nos centramos más en las Redes Sociales, los grupos a los que pertenece ese candidato pueden ofrecer información sobre los gustos e intereses de esa persona, si bien, ésta es una información que por lo general se extrae más de redes sociales profesionales que de otro tipo”.
Por su parte, Javier Cantera expuso que “la huella digital es un buen índice de predicción de tu valía personal. Principalmente así diferenciamos entre redes sociales profesionales y redes sociales en general. Yo creo que la historia profesional reflejada en grupos de Linkedin, en tus blogs profesionales o en tus debates de twitter si que es un modelo adecuado para seleccionar un candidato”.
Por último, Rodrigo Baraona comentó que “en todo proceso de selección se busca conocer a los candidatos para emitir un juicio sobre si se ajusta o no al puesto vacante. Para ello, se realizan entrevistas, pruebas psicotécnicas, dinámicas de grupo, etc. De la misma manera, la identidad digital de un candidato, es una fuente de información más, que aporta muchos elementos, que él mismo ha subido a la red a través de sus diferentes perfiles profesionales o personales. Por lo tanto, quien está realizando un proceso de selección, recurre a todos estos canales de información para tener una visión completa del candidato, incluido el perfil público de las redes sociales.
Luego, otra práctica relativamente frecuente en los procesos de selección, es la petición de referencias profesionales, lo cual, sólo se podrá hacer si el candidato da su aprobación explícita. Idealmente, el candidato debería identificar a quiénes se les va a pedir las referencias. La LOPD exige que para tratar datos de otras personas físicas, hay que solicitar su consentimiento, aunque sean referencias estrictamente laborales. Y dichas referencias tendrán que respetar el principio de proporcionalidad, es decir, sólo se podría solicitar información que permita determinar si el candidato es adecuado o no para el puesto al que postula, excluyendo aspectos no profesionales.
Para terminar, la última cuestión que quisimos plantear a nuestros expertos fue si ¿Es determinante lo que el candidato pueda expresar en las redes sociales?
Javier Ayuso contestó que “un buen experto en recursos humanos se centra en buscar la persona que mejor encajaría en un puesto de trabajo determinado. Y en ese proceso de valoración influyen múltiples variables es un proceso que consta de varias partes, no de una sola.
No se debería tomar una decisión con sólo una carta de la baraja. Es obviamente más responsable y prudente valorar el conjunto de la información disponible (CV, posibles recomendaciones, entrevista personal, pruebas psicotécnicas, etc) y conforme a eso tomar una decisión. Como aspecto importante a resaltar, es conveniente que cualquier persona que esté en redes sociales tenga claro el perfil publico que deja ver a cualquier persona y el perfil que deja ver a su círculo más intimo”.
Por su parte Javier Cantera ha destacado que “indudablemente, la imagen social en entorno virtual se constituye como una tarjeta de visita muy adecuada en estos momentos. Por otra parte, nunca puede encontrarse en exclusiva y debemos utilizar formas de contraste personal. Creo que eliminar a un candidato (un buen candidato) por su imagen virtual sería caer en un visión reduccionista de las redes. Las redes sociales son un acento de tu imagen personal que debe dar un nivel a tu desarrollo personal, pero nunca ser la única referencia en el reclutamiento de un candidato”.
Para terminar, Rodrigo Baraona ha indicado que “la consulta de las redes sociales por parte de quienes están haciendo selección de personal, hoy por hoy, es una práctica frecuente. Por lo tanto, puede ser determinante en un proceso de selección. Sin embargo y a pesar que la LOPD no establece nada específico al respecto, habría que considerar que esta práctica puede tener implicaciones denunciables.
Teniendo en cuenta que lo que uno escribe en una red social, igual que en cualquier otro medio, puede entenderse como el libre ejercicio de libertad de expresión, la discriminación explícita de candidatos basándose en imágenes u opiniones publicadas las redes sociales, en algún caso, podría suponer la violación de la normativa vigente en lo relativo a la discriminación por ideología, religión, etc”.
Fuente:RRHHDigital.com
Fecha: 30/03/2012
La regulación del negocio de los datos
Sólo un 20% de las bases de datos personales están registradas, Google escapa de la ley de protección de datos y muchas empresas la incumplen sistemáticamente. La Unión Europea prepara una directiva para que toda empresa que preste servicios por internet a personas residentes en Europa tenga que adaptarse a las leyes comunitarias.
A finales de febrero, el director general de la Policía, Ignacio Cosidó, presentaba el Plan Azul, un programa integral para reforzar la colaboración con la seguridad privada. Según la propia Policía Nacional, el cuerpo lleva 30 años colaborando con el sector privado, que participa de alguna manera en una de cada tres intervenciones. La información recabada por las empresas de seguridad será integrada en los archivos policiales y, a cambio, la Policía Nacional se compromete a facilitarles datos. También se contempla la planificación conjunta de servicios. Cosidó declaró que la colaboración es obligada "en estos momentos de crisis".
El plan no implica nada nuevo porque, según la Ley 23/1992 de Seguridad Privada, las empresas ya estaban obligadas a compartir información sobre actividades presuntamente delictivas. El abogado David Maeztu indica que "por el tono de las declaraciones, lo que parece es que se va a vender el acceso a la base de datos". Maeztu aclara que su afirmación es especulativa y que le extrañaría que la Policía llegara a sistematizar "un atentado mayúsculo a nuestros derechos". Sin embargo, no parece tan descabellado mirando a nuestro alrededor. Poco después de anunciarse el Plan Azul, The Guardian publicaba que el servicio de inteligencia británico ha estado tres décadas suministrando a empresas del sector de la construcción perfiles de trabajadores "izquierdistas o problemáticos". La misma semana, en Francia, Le Canard enchaîné denunciaba que Ikea había llegado a un acuerdo con la empresa de seguridad privada Sûreté International para consultar los archivos policiales a los que tiene acceso. Por 80 euros la consulta, Ikea podría rastrear los antecedentes de empleados y de clientes que le hubieran puesto una reclamación.
También se conocen proyectos gubernamentales para monitorizar a la ciudadanía, como el sistema SITEL de escuchas telefónicas puesto en marcha por el Gobierno de Aznar y aún vigente o el programa INDECT de la Unión Europea para recoger y procesar datos digitales, que no fue público hasta que lo filtró Wikileaks. En EE UU, la Patriot Act obliga a los servicios en la nube de internet a entregar al Gobierno los datos que requiera, lo cual expone a usuarios de todo el mundo, pues la mayor parte de las empresas de la Web 2.0 están allí. En efecto, "el principal problema para la privacidad no es ya legal sino de norma social", ya que es usual publicar todos nuestros datos personales en Facebook o en las aplicaciones de Google, según explica Jose Alcántara, autor del libro La sociedad de control (El Cobre, 2008, descargable).
El derecho al olvido en la nube
El 1 de marzo entraba en vigor la nueva política de privacidad de Google, publicitada por la empresa como una simplificación de los términos de servicio que servirá para "aprender más de cada usuario y así mejorar su experiencia de uso". En la práctica, que Google haya integrado todos los datos de servicios como el buscador, YouTube, Gmail y Google+ supone mayor exactitud para elaborar perfiles de cada usuario. Google refina así su publicidad personalizada, la base de sus ingresos.
Con la proliferación de las redes sociales en internet se está reivindicando cada vez más el "derecho al olvido" sobre los datos que entregamos a cualquier empresa. Según la Ley Orgánica de Protección de Datos (LOPD), tenemos pleno poder sobre ellos y podemos pedir el borrado. Pero este derecho no está tan claro si los datos han sido publicados por otra persona porque puede entrar en conflicto con otros intereses o derechos, como el principio de publicidad o la libertad de información. En esos casos, la Agencia Española de Protección de Datos (AEPD) suele recomendar preservar la fuente original y las hemerotecas y poner fin a la difusión generalizada limitando el acceso. Es decir, por ejemplo, que el dato siga publicado en la web del BOE o de un periódico, pero Google no lo indexe.
Por su parte, Google España alega que no es responsable del motor de búsquedas de Google Inc., sino que se limita a representar a la transnacional en la venta de espacio publicitario en el mercado español. David Maeztu aclara que "Google no está sometido a la LOPD por el ámbito de aplicación", ya que su sede está en EE UU. El abogado explica que "se ha intentado justificar la competencia de los órganos europeos mediante argumentos más o menos ingeniosos como considerar las cookies dispositivos de tratamiento de datos, pero el problema estaba en el origen de la normativa". Las leyes de la Unión Europea derivan de una directiva de 1995, cuando internet no tenía mucho que ver con lo que es ahora, y se aplican en función del lugar donde estén los servidores. Los datos quedan sujetos a leyes más laxas de países como EE UU, las economías emergentes de Asia e islas remotas del Pacífico.
Racionalizar la normativa
La Audiencia Nacional, que tiene pendientes 130 reclamaciones de cancelación de datos en Google, se resiste a que la tutela de un derecho dependa del lugar donde se ubiquen los medios técnicos, y ha planteado una batería de preguntas al Tribunal de Justicia de la Unión Europea. La Audiencia quiere un pronunciamiento explícito sobre si las leyes que rigen en la UE se pueden aplicar contra Google. Las respuestas vincularán a todos los Estados miembros.
De cualquier manera, la normativa va a cambiar. En enero, la comisaria europea de Justicia Viviane Reding presentó una propuesta legislativa según la cual todas las empresas que presten servicio en la UE tendrán que acatar sus leyes. Además, Reding quiere que se recojan los mínimos datos y que el usuario sepa en todo momento quién los almacena, cómo y para qué. Según el borrador, los internautas podrán reclamar a las autoridades de protección de su país, que estarán coordinadas con las de otros estados, y las sanciones se endurecerán hasta llegar a multas de un millón de euros o el 2% de las ventas globales anuales de la empresa. Algunas compañías, entre ellas Google, han advertido a la UE de que reglas demasiado estrictas pueden suponer barreras a la innovación tecnológica. Probablemente sufrirá modificaciones durante su tramitación y no se aprobará antes de 2015.
Supercomputer Center Barcelona, donde se encuentra el noveno ordenador más potente del mundo / Foto: Edu Bayer.
Más allá de la web social
El problema del tratamiento de los datos personales no se circunscribe a la Web 2.0. La AEPD lleva a cabo multitud de actuaciones en casos dispares como universidades que exponen las notas de su alumnado o filtraciones por parte de políticos. En 2011 se incrementaron las denuncias un 50% respecto a 2010.
Hay empresas que vulneran la ley sistemáticamente, como Orange, Movistar y Vodafone, sancionadas entre 2009 y 2010 en 139 ocasiones y con 7,7 millones de euros de multa por incluir ilegalmente a ciudadanos en ficheros de morosos. ONO, Endesa, Jazztel, BBVA y el Santander también son habituales en este tipo de infracciones. Además, muchas prefieren escapar al control estatal ubicando sus bases de datos en otros países. Lo pueden hacer automáticamente si se trasladan a sitios donde la AEPD considera que hay una protección adecuada (UE, EE UU, Canadá, Argentina, etc.) o, si no es así, pidiendo un permiso especial. La AEPD ha autorizado transferencias internacionales a Movistar, France Telecom, IBM, Vodafone y a otras grandes empresas que instalan plataformas de telemarketing en países con regulaciones de datos –y laborales– más flexibles.
Las entidades más pequeñas optan simplemente por no respetar la LOPD. Según Maeztu, "cumplir con el contenido íntegro de la ley en el día a día es imposible. Por ejemplo, un abogado debería anotar cada vez que saca un documento en papel de sus ficheros". Lo mínimo, que es registrar las bases de datos y se puede tramitar gratuitamente por internet, sólo lo hacen el 20% del total de empresas.
Por otro lado, dos sentencias del Tribunal Supremo han anulado la parte de la LOPD que señalaba que, sin consentimiento de su dueño, sólo se podían añadir a ficheros datos personales que vinieran de fuentes accesibles al público. Uno de los dos consorcios de marketing que recurrió al Supremo es, curiosamente, Adigital, la entidad que gestiona la Lista Robinson. A esta lista, que no es de acceso público pero todas las empresas están obligadas a consultar, se pueden apuntar las personas que no quieran recibir publicidad.
La emergencia de una industria
Los datos personales son la materia prima para un modelo empresarial que, asegura Jose Alcántara, es posible por el uso de computadoras para acumularlos y procesarlos. "Con el aumento de la potencia de cálculo, surgen ideas para monetarizarlos, cálculos estadísticos amparados en millones de muestras que permiten predecir consumos masivos y saber cómo reaccionará una persona ante una determinada campaña”.
El colectivo Ippolita criticó en El lado oscuro de Google (Virus, 2010, también descargable) que el algoritmo que regula los resultados del buscador supone una "objetivación del deseo". En palabras de de K., uno de sus miembros, Google "te dice objetivamente qué tienes que leer" según un cálculo matemático, como Facebook de quién hacerte amigo o Amazon qué libro comprar. "El discurso es supuestamente científico: una realidad objetivamente fundada sobre la masa de datos que esas empresas gestionan por el bien de los usuarios". Para K., en Google y otros servicios de gestión de datos personales funciona "la dictadura de la mayoría" y se invisibilizan las opciones minoritarias. "Aunque todas las empresas 2.0 dicen estar interesadas en las personalización, buscan la hegemonía: un sólo resultado exacto para ti, para que no tengas que elegir y dejes que sea una máquina la que lo haga". Frente a las grandes empresas que concentran el control de la memoria en la red, K. recuerda que desde el hacktivismo se opta por pequeñas redes federadas.
Según Alcántara, "cabe preguntarse no ya si se recogerán todos nuestros datos (algo casi inevitable), sino quién tiene acceso y bajo qué condiciones". Se busca democratizar los ficheros, sobre todo los públicos: "ya que el Estado recoge datos con dinero de los ciudadanos, éstos deben tener acceso libre", afirma Alcántara. El movimiento Open Data va en esta línea y aboga por la accesibilidad sin copyright ni mecanismos de control. "El Open Data no es una solución a la privacidad, pero sí ayuda a mejorar la vida pública al tiempo que impide la gestación de monopolios que controlen los datos y obtengan leyes a su favor y en detrimento de las personas", concluye Alcántara.
Los datos no son virtuales
Los datos que están en la nube se hacen tangibles en los datacenters, las instalaciones donde se almacenan y procesan. Los mayores complejos pertenecen a proveedores de alojamiento web como Akamai o OVH. Éstos son las dos que más servidores han declarado, pero se estima que Google, que los mantiene en secreto, posee diez veces más (cerca de un millón). Su localización y su capacidad se oculta alegando motivos de seguridad y de competencia. Cuentan con excelsos mecanismos de protección: cableado doble, subestaciones eléctricas, máquinas de respaldo que replican los datos continuamente, etc.
Los datacenters más grandes del mundo se encuentran en EE UU, con dos excepciones: el de BT en Gales y el de Microsoft en Irlanda. IBM está construyendo uno en China que los superará a todos (576.000 m2). El BBVA acaba de inaugurar en Madrid un centro con 10.000 procesadores que pueden realizar 44 millones de operaciones diarias.
Fuente: Diagonalperiodico, rebelion.org
Fecha: 31/03/2012
A finales de febrero, el director general de la Policía, Ignacio Cosidó, presentaba el Plan Azul, un programa integral para reforzar la colaboración con la seguridad privada. Según la propia Policía Nacional, el cuerpo lleva 30 años colaborando con el sector privado, que participa de alguna manera en una de cada tres intervenciones. La información recabada por las empresas de seguridad será integrada en los archivos policiales y, a cambio, la Policía Nacional se compromete a facilitarles datos. También se contempla la planificación conjunta de servicios. Cosidó declaró que la colaboración es obligada "en estos momentos de crisis".
El plan no implica nada nuevo porque, según la Ley 23/1992 de Seguridad Privada, las empresas ya estaban obligadas a compartir información sobre actividades presuntamente delictivas. El abogado David Maeztu indica que "por el tono de las declaraciones, lo que parece es que se va a vender el acceso a la base de datos". Maeztu aclara que su afirmación es especulativa y que le extrañaría que la Policía llegara a sistematizar "un atentado mayúsculo a nuestros derechos". Sin embargo, no parece tan descabellado mirando a nuestro alrededor. Poco después de anunciarse el Plan Azul, The Guardian publicaba que el servicio de inteligencia británico ha estado tres décadas suministrando a empresas del sector de la construcción perfiles de trabajadores "izquierdistas o problemáticos". La misma semana, en Francia, Le Canard enchaîné denunciaba que Ikea había llegado a un acuerdo con la empresa de seguridad privada Sûreté International para consultar los archivos policiales a los que tiene acceso. Por 80 euros la consulta, Ikea podría rastrear los antecedentes de empleados y de clientes que le hubieran puesto una reclamación.
También se conocen proyectos gubernamentales para monitorizar a la ciudadanía, como el sistema SITEL de escuchas telefónicas puesto en marcha por el Gobierno de Aznar y aún vigente o el programa INDECT de la Unión Europea para recoger y procesar datos digitales, que no fue público hasta que lo filtró Wikileaks. En EE UU, la Patriot Act obliga a los servicios en la nube de internet a entregar al Gobierno los datos que requiera, lo cual expone a usuarios de todo el mundo, pues la mayor parte de las empresas de la Web 2.0 están allí. En efecto, "el principal problema para la privacidad no es ya legal sino de norma social", ya que es usual publicar todos nuestros datos personales en Facebook o en las aplicaciones de Google, según explica Jose Alcántara, autor del libro La sociedad de control (El Cobre, 2008, descargable).
El derecho al olvido en la nube
El 1 de marzo entraba en vigor la nueva política de privacidad de Google, publicitada por la empresa como una simplificación de los términos de servicio que servirá para "aprender más de cada usuario y así mejorar su experiencia de uso". En la práctica, que Google haya integrado todos los datos de servicios como el buscador, YouTube, Gmail y Google+ supone mayor exactitud para elaborar perfiles de cada usuario. Google refina así su publicidad personalizada, la base de sus ingresos.
Con la proliferación de las redes sociales en internet se está reivindicando cada vez más el "derecho al olvido" sobre los datos que entregamos a cualquier empresa. Según la Ley Orgánica de Protección de Datos (LOPD), tenemos pleno poder sobre ellos y podemos pedir el borrado. Pero este derecho no está tan claro si los datos han sido publicados por otra persona porque puede entrar en conflicto con otros intereses o derechos, como el principio de publicidad o la libertad de información. En esos casos, la Agencia Española de Protección de Datos (AEPD) suele recomendar preservar la fuente original y las hemerotecas y poner fin a la difusión generalizada limitando el acceso. Es decir, por ejemplo, que el dato siga publicado en la web del BOE o de un periódico, pero Google no lo indexe.
Por su parte, Google España alega que no es responsable del motor de búsquedas de Google Inc., sino que se limita a representar a la transnacional en la venta de espacio publicitario en el mercado español. David Maeztu aclara que "Google no está sometido a la LOPD por el ámbito de aplicación", ya que su sede está en EE UU. El abogado explica que "se ha intentado justificar la competencia de los órganos europeos mediante argumentos más o menos ingeniosos como considerar las cookies dispositivos de tratamiento de datos, pero el problema estaba en el origen de la normativa". Las leyes de la Unión Europea derivan de una directiva de 1995, cuando internet no tenía mucho que ver con lo que es ahora, y se aplican en función del lugar donde estén los servidores. Los datos quedan sujetos a leyes más laxas de países como EE UU, las economías emergentes de Asia e islas remotas del Pacífico.
Racionalizar la normativa
La Audiencia Nacional, que tiene pendientes 130 reclamaciones de cancelación de datos en Google, se resiste a que la tutela de un derecho dependa del lugar donde se ubiquen los medios técnicos, y ha planteado una batería de preguntas al Tribunal de Justicia de la Unión Europea. La Audiencia quiere un pronunciamiento explícito sobre si las leyes que rigen en la UE se pueden aplicar contra Google. Las respuestas vincularán a todos los Estados miembros.
De cualquier manera, la normativa va a cambiar. En enero, la comisaria europea de Justicia Viviane Reding presentó una propuesta legislativa según la cual todas las empresas que presten servicio en la UE tendrán que acatar sus leyes. Además, Reding quiere que se recojan los mínimos datos y que el usuario sepa en todo momento quién los almacena, cómo y para qué. Según el borrador, los internautas podrán reclamar a las autoridades de protección de su país, que estarán coordinadas con las de otros estados, y las sanciones se endurecerán hasta llegar a multas de un millón de euros o el 2% de las ventas globales anuales de la empresa. Algunas compañías, entre ellas Google, han advertido a la UE de que reglas demasiado estrictas pueden suponer barreras a la innovación tecnológica. Probablemente sufrirá modificaciones durante su tramitación y no se aprobará antes de 2015.
Supercomputer Center Barcelona, donde se encuentra el noveno ordenador más potente del mundo / Foto: Edu Bayer.
Más allá de la web social
El problema del tratamiento de los datos personales no se circunscribe a la Web 2.0. La AEPD lleva a cabo multitud de actuaciones en casos dispares como universidades que exponen las notas de su alumnado o filtraciones por parte de políticos. En 2011 se incrementaron las denuncias un 50% respecto a 2010.
Hay empresas que vulneran la ley sistemáticamente, como Orange, Movistar y Vodafone, sancionadas entre 2009 y 2010 en 139 ocasiones y con 7,7 millones de euros de multa por incluir ilegalmente a ciudadanos en ficheros de morosos. ONO, Endesa, Jazztel, BBVA y el Santander también son habituales en este tipo de infracciones. Además, muchas prefieren escapar al control estatal ubicando sus bases de datos en otros países. Lo pueden hacer automáticamente si se trasladan a sitios donde la AEPD considera que hay una protección adecuada (UE, EE UU, Canadá, Argentina, etc.) o, si no es así, pidiendo un permiso especial. La AEPD ha autorizado transferencias internacionales a Movistar, France Telecom, IBM, Vodafone y a otras grandes empresas que instalan plataformas de telemarketing en países con regulaciones de datos –y laborales– más flexibles.
Las entidades más pequeñas optan simplemente por no respetar la LOPD. Según Maeztu, "cumplir con el contenido íntegro de la ley en el día a día es imposible. Por ejemplo, un abogado debería anotar cada vez que saca un documento en papel de sus ficheros". Lo mínimo, que es registrar las bases de datos y se puede tramitar gratuitamente por internet, sólo lo hacen el 20% del total de empresas.
Por otro lado, dos sentencias del Tribunal Supremo han anulado la parte de la LOPD que señalaba que, sin consentimiento de su dueño, sólo se podían añadir a ficheros datos personales que vinieran de fuentes accesibles al público. Uno de los dos consorcios de marketing que recurrió al Supremo es, curiosamente, Adigital, la entidad que gestiona la Lista Robinson. A esta lista, que no es de acceso público pero todas las empresas están obligadas a consultar, se pueden apuntar las personas que no quieran recibir publicidad.
La emergencia de una industria
Los datos personales son la materia prima para un modelo empresarial que, asegura Jose Alcántara, es posible por el uso de computadoras para acumularlos y procesarlos. "Con el aumento de la potencia de cálculo, surgen ideas para monetarizarlos, cálculos estadísticos amparados en millones de muestras que permiten predecir consumos masivos y saber cómo reaccionará una persona ante una determinada campaña”.
El colectivo Ippolita criticó en El lado oscuro de Google (Virus, 2010, también descargable) que el algoritmo que regula los resultados del buscador supone una "objetivación del deseo". En palabras de de K., uno de sus miembros, Google "te dice objetivamente qué tienes que leer" según un cálculo matemático, como Facebook de quién hacerte amigo o Amazon qué libro comprar. "El discurso es supuestamente científico: una realidad objetivamente fundada sobre la masa de datos que esas empresas gestionan por el bien de los usuarios". Para K., en Google y otros servicios de gestión de datos personales funciona "la dictadura de la mayoría" y se invisibilizan las opciones minoritarias. "Aunque todas las empresas 2.0 dicen estar interesadas en las personalización, buscan la hegemonía: un sólo resultado exacto para ti, para que no tengas que elegir y dejes que sea una máquina la que lo haga". Frente a las grandes empresas que concentran el control de la memoria en la red, K. recuerda que desde el hacktivismo se opta por pequeñas redes federadas.
Según Alcántara, "cabe preguntarse no ya si se recogerán todos nuestros datos (algo casi inevitable), sino quién tiene acceso y bajo qué condiciones". Se busca democratizar los ficheros, sobre todo los públicos: "ya que el Estado recoge datos con dinero de los ciudadanos, éstos deben tener acceso libre", afirma Alcántara. El movimiento Open Data va en esta línea y aboga por la accesibilidad sin copyright ni mecanismos de control. "El Open Data no es una solución a la privacidad, pero sí ayuda a mejorar la vida pública al tiempo que impide la gestación de monopolios que controlen los datos y obtengan leyes a su favor y en detrimento de las personas", concluye Alcántara.
Los datos no son virtuales
Los datos que están en la nube se hacen tangibles en los datacenters, las instalaciones donde se almacenan y procesan. Los mayores complejos pertenecen a proveedores de alojamiento web como Akamai o OVH. Éstos son las dos que más servidores han declarado, pero se estima que Google, que los mantiene en secreto, posee diez veces más (cerca de un millón). Su localización y su capacidad se oculta alegando motivos de seguridad y de competencia. Cuentan con excelsos mecanismos de protección: cableado doble, subestaciones eléctricas, máquinas de respaldo que replican los datos continuamente, etc.
Los datacenters más grandes del mundo se encuentran en EE UU, con dos excepciones: el de BT en Gales y el de Microsoft en Irlanda. IBM está construyendo uno en China que los superará a todos (576.000 m2). El BBVA acaba de inaugurar en Madrid un centro con 10.000 procesadores que pueden realizar 44 millones de operaciones diarias.
Fuente: Diagonalperiodico, rebelion.org
Fecha: 31/03/2012
Política de LOPD en hermandades y cofradías
Estamos en “La Gran Semana”, La Semana Santa, el momento litúrgico más intenso de todo el año. Las hermandades y cofradías pasean sus imágenes en procesión y el público asiste con devoción a ese momento de culto público que representa los misterios de la Pasión y Muerte de Jesús.
Como sabe Las hermandades son asociaciones de fieles católicos con fines piadosos. Independientemente de ello, lo que no dejan de ser es una agrupación de personas que se deben organizar, jerarquizar o relacionarse. Todo esto provoca como es lógico, que sean depositarios de gran cantidad de datos de carácter personal que tendrán la obligación de preservar.
Los datos que manejan las hermandades comprenden a los tres niveles de seguridad que marca la Ley Orgánica de Protección de Datos (LOPD).
•BÁSICO: Son los datos identificativos, indispensable si se quiere formar parte de una asociación de personas, las hermandades no tienen por qué ser diferentes.
•MEDIO: Son los datos económicos y financieros. En las Hermandades en ocasiones se hacen listas con los hermanos que no pagan la cuota, o la relación comercial que tienen con los proveedores.
•ALTO: Son los datos relativos a religión, creencias, ideología o salud. Son los datos más “sensibles” y que más expone a este tipo de organización. Se han formado por profesar el mismo culto religioso por lo que el dato personal relativo a “religión o creencia” vendrá implícito. En cuanto a los datos sanitarios, suelen estar relacionados con ficheros relativos al estado físico de los hermanos costaleros.
Refiriéndose a esto la Agencia Española de Protección de datos nos dice:
Los datos referidos a la condición de miembros de una Hermandad, teniendo en cuenta su propia naturaleza, han de ser considerados como datos especialmente protegidos, relacionados con la religión y creencias de los mismos. En consecuencia, resulta aplicable lo establecido en el artículo 7.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, según el cual, “sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias”.
El artículo 81.3 a) del Reglamento establece como regla general que “además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal (…) los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual”. En consecuencia, como regla general, el citado precepto impondría la adopción de las medidas de nivel alto a los ficheros de las hermandades y cofradías de la Iglesia Católica, en cuanto se refirieran a sus miembros.
Las cofradías y Hermandades deben ser conscientes de la importancia que supone manejar documentos relativos a datos personales. Aquí podemos recomendar, como ya hicimos en otras ocaciones, una serie de pautas fundamentales que se debe seguir en relación a las 3 obligaciones básicas para con los ficheros que nos marca la ley. Legalizar; Legitimar y Proteger.
Lo que debe hacer la Hermandad para legalizar los ficheros es inscribirlos en la entidad competente, es decir, en la Agencia Española de Protección de Datos.
Para legitimarlos, se deben pedir a los hermanos cofrades su consentimiento por escrito como condición sine qua non para el tratamiento de sus datos y su incorporación al fichero. Además de esto se deberán cumplir tres principios básicos:
1.Principio de Consentimiento
2.Principio de Información
3.Principio de Calidad de los Datos
Esto se resume en: Pedir el consentimiento a los afectados, informar sobre que tipo de datos van a ser utilizados, que consecuencias puede tener la pertinencia de los mismos, los derechos ARCO (Accesibilidad, rectificación, cancelación y oposición) y por último, comunicar con qué finalidad se han recogido los datos.
La elaboración de un Documento de Seguridad relativo a la política de protección de datos que va a seguir la Hermandad, ayudará a hacer cumplir la tercera obligación, la protección. Dicho documento tendrá que indicar, entre otras cosas, las medidas de seguridad, las personas que tienen acceso o que datos están almacenados. Además de todo esto las cofradías deben ser muy precavidas a la hora de ceder estos datos confidenciales a otras organizaciones o entidades, ya que está totalmente prohibido sin la autorización de los afectados.
Todo esto requiere un esfuerzo y un trabajo por parte de las hermandades, pero sabiendo los principios básicos y contando con un adecuado asesoramiento profesional la consecución total de todos los objetivos que marca la ley está asegurada. La otra salida sólo conduce a las elevadísimas sanciones que el incumplimiento de la LOPD impone. Sanciones, que ni siquiera nuestra estrecha relación con el todopoderoso nos libraría.
Fuente: Toito.es
Fecha: 04/04/2012
Como sabe Las hermandades son asociaciones de fieles católicos con fines piadosos. Independientemente de ello, lo que no dejan de ser es una agrupación de personas que se deben organizar, jerarquizar o relacionarse. Todo esto provoca como es lógico, que sean depositarios de gran cantidad de datos de carácter personal que tendrán la obligación de preservar.
Los datos que manejan las hermandades comprenden a los tres niveles de seguridad que marca la Ley Orgánica de Protección de Datos (LOPD).
•BÁSICO: Son los datos identificativos, indispensable si se quiere formar parte de una asociación de personas, las hermandades no tienen por qué ser diferentes.
•MEDIO: Son los datos económicos y financieros. En las Hermandades en ocasiones se hacen listas con los hermanos que no pagan la cuota, o la relación comercial que tienen con los proveedores.
•ALTO: Son los datos relativos a religión, creencias, ideología o salud. Son los datos más “sensibles” y que más expone a este tipo de organización. Se han formado por profesar el mismo culto religioso por lo que el dato personal relativo a “religión o creencia” vendrá implícito. En cuanto a los datos sanitarios, suelen estar relacionados con ficheros relativos al estado físico de los hermanos costaleros.
Refiriéndose a esto la Agencia Española de Protección de datos nos dice:
Los datos referidos a la condición de miembros de una Hermandad, teniendo en cuenta su propia naturaleza, han de ser considerados como datos especialmente protegidos, relacionados con la religión y creencias de los mismos. En consecuencia, resulta aplicable lo establecido en el artículo 7.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, según el cual, “sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias”.
El artículo 81.3 a) del Reglamento establece como regla general que “además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal (…) los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual”. En consecuencia, como regla general, el citado precepto impondría la adopción de las medidas de nivel alto a los ficheros de las hermandades y cofradías de la Iglesia Católica, en cuanto se refirieran a sus miembros.
Las cofradías y Hermandades deben ser conscientes de la importancia que supone manejar documentos relativos a datos personales. Aquí podemos recomendar, como ya hicimos en otras ocaciones, una serie de pautas fundamentales que se debe seguir en relación a las 3 obligaciones básicas para con los ficheros que nos marca la ley. Legalizar; Legitimar y Proteger.
Lo que debe hacer la Hermandad para legalizar los ficheros es inscribirlos en la entidad competente, es decir, en la Agencia Española de Protección de Datos.
Para legitimarlos, se deben pedir a los hermanos cofrades su consentimiento por escrito como condición sine qua non para el tratamiento de sus datos y su incorporación al fichero. Además de esto se deberán cumplir tres principios básicos:
1.Principio de Consentimiento
2.Principio de Información
3.Principio de Calidad de los Datos
Esto se resume en: Pedir el consentimiento a los afectados, informar sobre que tipo de datos van a ser utilizados, que consecuencias puede tener la pertinencia de los mismos, los derechos ARCO (Accesibilidad, rectificación, cancelación y oposición) y por último, comunicar con qué finalidad se han recogido los datos.
La elaboración de un Documento de Seguridad relativo a la política de protección de datos que va a seguir la Hermandad, ayudará a hacer cumplir la tercera obligación, la protección. Dicho documento tendrá que indicar, entre otras cosas, las medidas de seguridad, las personas que tienen acceso o que datos están almacenados. Además de todo esto las cofradías deben ser muy precavidas a la hora de ceder estos datos confidenciales a otras organizaciones o entidades, ya que está totalmente prohibido sin la autorización de los afectados.
Todo esto requiere un esfuerzo y un trabajo por parte de las hermandades, pero sabiendo los principios básicos y contando con un adecuado asesoramiento profesional la consecución total de todos los objetivos que marca la ley está asegurada. La otra salida sólo conduce a las elevadísimas sanciones que el incumplimiento de la LOPD impone. Sanciones, que ni siquiera nuestra estrecha relación con el todopoderoso nos libraría.
Fuente: Toito.es
Fecha: 04/04/2012
Sólo el 17,8% de las empresas españolas toma medidas que garanticen la seguridad de los datos de carácter personal
Ésta es la principal conclusión que se extrae del estudio elaborado por Sigma Data Security Consulting sobre cumplimiento de la Ley Orgánica de Protección de Datos (en adelante, LOPD).
El hecho de que cerca de un tercio de las organizaciones en España tire a la basura ficheros con datos de carácter personal, a pesar de que la LOPD castigue este comportamiento con multas de hasta 600.000 euros, pone de relieve el escaso grado de compromiso sobre la protección de datos, y la destrucción de documentos de las empresas españolas.
Según el mencionado informe, del 19,30% de las empresas que manifiesta haber inscrito sus ficheros en el Registro General de Protección de datos (tal y como se recoge en el artículo 9 de la LOPD) sólo un 17,8% toma medidas para salvaguardar su confidencialidad e integridad, tal y como establece el artículo 26 de la misma norma. Esto significa que todavía hoy un cierto número de empresas, conscientes de que tienen obligaciones en materia de protección de datos, se limitan a cumplir la “más visible” de éstas sin realizar un verdadero trabajo de adaptación con los peligros y sanciones que ello conlleva.
Héctor Barak, Director General de Fellowes Iberia, señala que el incumplimiento de la ley supone una vulneración de los derechos de los clientes, empleados y proveedores, con los riegos legales que conlleva.
Además, “puede resultar peligroso para la propia empresa, ya que son numerosos los casos de espionaje que se han dado entre compañías que han accedido a información confidencial mediante CD´s, documentos y dispositivos de almacenamiento masivo que no han sido destruidos correctamente”.
Asimismo, el hallazgo de documentos confidenciales en la vía pública también revela la escasa concienciación que existe entre las empresas de la importancia de una política de destrucción de papel, en la que se especifique cómo y qué documentos deben ser destruidos.
Fuente: Cibersur
Fecha: 08/03/2012
El hecho de que cerca de un tercio de las organizaciones en España tire a la basura ficheros con datos de carácter personal, a pesar de que la LOPD castigue este comportamiento con multas de hasta 600.000 euros, pone de relieve el escaso grado de compromiso sobre la protección de datos, y la destrucción de documentos de las empresas españolas.
Según el mencionado informe, del 19,30% de las empresas que manifiesta haber inscrito sus ficheros en el Registro General de Protección de datos (tal y como se recoge en el artículo 9 de la LOPD) sólo un 17,8% toma medidas para salvaguardar su confidencialidad e integridad, tal y como establece el artículo 26 de la misma norma. Esto significa que todavía hoy un cierto número de empresas, conscientes de que tienen obligaciones en materia de protección de datos, se limitan a cumplir la “más visible” de éstas sin realizar un verdadero trabajo de adaptación con los peligros y sanciones que ello conlleva.
Héctor Barak, Director General de Fellowes Iberia, señala que el incumplimiento de la ley supone una vulneración de los derechos de los clientes, empleados y proveedores, con los riegos legales que conlleva.
Además, “puede resultar peligroso para la propia empresa, ya que son numerosos los casos de espionaje que se han dado entre compañías que han accedido a información confidencial mediante CD´s, documentos y dispositivos de almacenamiento masivo que no han sido destruidos correctamente”.
Asimismo, el hallazgo de documentos confidenciales en la vía pública también revela la escasa concienciación que existe entre las empresas de la importancia de una política de destrucción de papel, en la que se especifique cómo y qué documentos deben ser destruidos.
Fuente: Cibersur
Fecha: 08/03/2012
Un 'show girls' valenciano es multado con 40.000 euros por robar datos personales a sus clientes
La Agencia Española de Protección de Datos (AEPD) se ha encontrado con un caso muy peculiar: se ha visto obligada a sancionar a un local de show girls por adueñarse de los datos personales de sus clientes sin su consentimiento.
Todo empezó por una denuncia de la policía de la Comunidad Valenciana, que alertó de la existencia de 1.000 fotocopias de documentos de identidad (DNIs) y tarjetas de crédito de numerosas personas, que resultaron ser clientes de dicho club nocturno y que desconocían el robo de sus datos.
Tras constatar este delito, la empresa ha sido multada por la AEPD con, exactamente, 40.001 euros, una cifra que podría haber sido más de siete veces superior.
Es más, en opinión de www.salirdeinternet.com, el despacho de abogados especialista en el anonimato en la red, "la sanción podría haber alcanzado los 300.000 euros, la cantidad inicialmente prevista, pero finalmente la multa se ha fijado en la cuantía mínima aplicable al caso".
Y no es para menos. Según la investigación policial, estos documentos fotocopiados sin permiso fueron usados de forma masiva para comprar por internet productos electrónicos, de perfumería y hasta billetes de avión. Por si fuera poco, la empresa se los vendía posteriormente a las empleadas del club para que, tanto ellas como sus familiares, volaran a distintos destinos (principalmente, Rumanía).
Suma y sigue, porque la historia no acaba aquí. El local encontró una justificación a sus actividades alegando que la copia de los documentos se realizaba siempre en presencia de los clientes, con su consentimiento verbal, y que la finalidad del almacenamiento de las copias era para que, "en caso de discrepancia sobre si se había realizado o no dicho gasto y por quién se había realizado, poder acreditar la existencia de una relación comercial entre el local y el titular del DNI y la tarjeta de crédito, así como su importe".
Al final, la investigación se ha saldado, además de con la multa de 40.001 euros, con la detención de varias personas (al menos ocho) por un "presunto delito de Estafa, Receptación y Usurpación de Estado Civil", según consta en la resolución de la Agencia de Protección de Datos.
Fuente: La Información
Fecha: 12/04/2012
Todo empezó por una denuncia de la policía de la Comunidad Valenciana, que alertó de la existencia de 1.000 fotocopias de documentos de identidad (DNIs) y tarjetas de crédito de numerosas personas, que resultaron ser clientes de dicho club nocturno y que desconocían el robo de sus datos.
Tras constatar este delito, la empresa ha sido multada por la AEPD con, exactamente, 40.001 euros, una cifra que podría haber sido más de siete veces superior.
Es más, en opinión de www.salirdeinternet.com, el despacho de abogados especialista en el anonimato en la red, "la sanción podría haber alcanzado los 300.000 euros, la cantidad inicialmente prevista, pero finalmente la multa se ha fijado en la cuantía mínima aplicable al caso".
Y no es para menos. Según la investigación policial, estos documentos fotocopiados sin permiso fueron usados de forma masiva para comprar por internet productos electrónicos, de perfumería y hasta billetes de avión. Por si fuera poco, la empresa se los vendía posteriormente a las empleadas del club para que, tanto ellas como sus familiares, volaran a distintos destinos (principalmente, Rumanía).
Suma y sigue, porque la historia no acaba aquí. El local encontró una justificación a sus actividades alegando que la copia de los documentos se realizaba siempre en presencia de los clientes, con su consentimiento verbal, y que la finalidad del almacenamiento de las copias era para que, "en caso de discrepancia sobre si se había realizado o no dicho gasto y por quién se había realizado, poder acreditar la existencia de una relación comercial entre el local y el titular del DNI y la tarjeta de crédito, así como su importe".
Al final, la investigación se ha saldado, además de con la multa de 40.001 euros, con la detención de varias personas (al menos ocho) por un "presunto delito de Estafa, Receptación y Usurpación de Estado Civil", según consta en la resolución de la Agencia de Protección de Datos.
Fuente: La Información
Fecha: 12/04/2012
El usuario tendrá que dar su consentimiento para la instalación de "cookies"
Los españoles tendrán que dar su consentimiento para la instalación de programas que registran la navegación en internet ("cookies"), después de que una resolución del Boletín Oficial del Estado haya modificado la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico.
El BOE explica que la Ley se ha cambiado para "exigir el consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas "cookies") que almacenan información en el equipo de usuario y permiten que se acceda a ésta".
En ese sentido, el BOE reconoce que esos archivos y programas pueden facilitar la navegación por internet, pero alerta de que su uso puede desvelar aspectos de la esfera privada de los usuarios, por lo que es "importante" que estén "adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad".
La modificación de esta Ley persigue adecuar su redacción a la normativa europea en materia del tratamiento de los datos personales y la protección de la intimidad en el sector de las comunicaciones electrónicas.
Fuente: La Información
Fecha: 03/04/2012
El BOE explica que la Ley se ha cambiado para "exigir el consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas "cookies") que almacenan información en el equipo de usuario y permiten que se acceda a ésta".
En ese sentido, el BOE reconoce que esos archivos y programas pueden facilitar la navegación por internet, pero alerta de que su uso puede desvelar aspectos de la esfera privada de los usuarios, por lo que es "importante" que estén "adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad".
La modificación de esta Ley persigue adecuar su redacción a la normativa europea en materia del tratamiento de los datos personales y la protección de la intimidad en el sector de las comunicaciones electrónicas.
Fuente: La Información
Fecha: 03/04/2012
La Agencia de Protección de Datos sanciona a una academia de oposiciones
La Agencia Española de Protección de Datos acaba de sancionar con 4.000 euros de multa a los responsables de una academia de preparación de oposiciones de Gijón, a los que la citada agencia considera autores de una «infracción grave».
El proceso sancionador cuya conclusión se acaba de hacer pública dio sus primeros pasos en febrero de 2010. Por aquel entonces la Policía Local de Gijón localizó en un vertedero ilegal, en el barrio de Tremañes, documentación confidencial de opositores que cursaban sus estudios en la academia sancionada.
Los responsables del centro de formación aseguraron en su defensa durante el proceso sancionador que habían contactado con una empresa de transportes encargada de llevar la documentación a un punto limpio de la empresa municipal Emulsa.
A pesar de todo, los responsables de la Agencia de Protección de Datos mantienen que «el responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal», recoge la sanción.
Un extremo que no se cumplió en este caso, ya que los documentos deberían haberse destruido. Por ese motivo, según la Agencia de Protección de Datos, «no exonera de la responsabilidad de la denunciada la existencia de un recibo firmado por un tercero, en todo caso la documentación que debía recoger el transportista debía estar ya triturada», concluye el informe elaborado por la Agencia de Protección de Datos.
El deber de confidencialidad obliga, según los responsables de la sanción, «no sólo al responsable del fichero, sino a todo aquel que intervenga en cualquier fase del tratamiento».
No obstante, y tras haber tenido en cuenta el «carácter excepcional» de lo sucedido que los sancionadores aprecian en la localización de los ficheros arrojados al vertedero ilegal, la Agencia de Protección de Datos considera que estos hechos conllevan una multa de 4.000 euros a pesar de que se trata de una infracción tipificada como «grave».
Este caso recuerda al vivido por un médico gijonés al que la Agencia Española de Protección de Datos sancionó en su día por arrojar a la vía pública, concretamente en la calle Libertad, envases de biopsias en los que se recogían datos personales de los clientes del facultativo.
Fuente: La Nueva España
Fecha: 02/04/2012
El proceso sancionador cuya conclusión se acaba de hacer pública dio sus primeros pasos en febrero de 2010. Por aquel entonces la Policía Local de Gijón localizó en un vertedero ilegal, en el barrio de Tremañes, documentación confidencial de opositores que cursaban sus estudios en la academia sancionada.
Los responsables del centro de formación aseguraron en su defensa durante el proceso sancionador que habían contactado con una empresa de transportes encargada de llevar la documentación a un punto limpio de la empresa municipal Emulsa.
A pesar de todo, los responsables de la Agencia de Protección de Datos mantienen que «el responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal», recoge la sanción.
Un extremo que no se cumplió en este caso, ya que los documentos deberían haberse destruido. Por ese motivo, según la Agencia de Protección de Datos, «no exonera de la responsabilidad de la denunciada la existencia de un recibo firmado por un tercero, en todo caso la documentación que debía recoger el transportista debía estar ya triturada», concluye el informe elaborado por la Agencia de Protección de Datos.
El deber de confidencialidad obliga, según los responsables de la sanción, «no sólo al responsable del fichero, sino a todo aquel que intervenga en cualquier fase del tratamiento».
No obstante, y tras haber tenido en cuenta el «carácter excepcional» de lo sucedido que los sancionadores aprecian en la localización de los ficheros arrojados al vertedero ilegal, la Agencia de Protección de Datos considera que estos hechos conllevan una multa de 4.000 euros a pesar de que se trata de una infracción tipificada como «grave».
Este caso recuerda al vivido por un médico gijonés al que la Agencia Española de Protección de Datos sancionó en su día por arrojar a la vía pública, concretamente en la calle Libertad, envases de biopsias en los que se recogían datos personales de los clientes del facultativo.
Fuente: La Nueva España
Fecha: 02/04/2012
Los datos del sector público son los que corren mayor riesgo ante desastres
Según las conclusiones arrojados por el Acronis Global Disaster Recovery (DR) Index de 2012, el sector público es el que menos confianza deposita en las copias de seguridad y recuperación ante desastres.
La mayoría de encuestados del sector público por el estudio de Acronis cita la falta de presupuesto y recursos como principales retos. Una tercera parte (33%) no invierte nada en copias de seguridad ni recuperación ante desastres y el 41% indica que no cuenta con personal capacitado de TI para gestionar todos sus sistemas.
La encuesta realizada por Ponemon Institute para Acronis a unas 6.000 pymes de 18 países mostró que más de la mitad (65%) de las organizaciones del sector público sufrirían un importante período de tiempo de inactividad en caso de que ocurriera un desastre. Las dos terceras partes dicen que sus operaciones de recuperación de desastres no están bien gestionadas, y casi la mitad (47%) declara que sus directivos no apoyan sus operaciones en este campo. Cuando se les preguntó si la protección de datos se había vuelto una prioridad algo más importante debido a los desastres naturales de 2011, solamente uno de cada cinco (21%) había informado a sus gerentes sobre los problemas a los que se enfrentan.
Los resultados de la encuesta indican que el sector público es relativamente lento, comparado con otros sectores, en adoptar la virtualización. De hecho, una cuarta parte (23%) de todas las organizaciones del sector público no ha adoptado ningún tipo de virtualización. Igualmente, el sector público es el que menos probabilidad tiene de proteger sus servidores virtuales, con el 70% afirmando que no realizan copias de seguridad de sus servidores virtuales con la misma frecuencia que la de sus servidores físicos, o que no sabe si lo hace.
Sin embargo, la nube se está convirtiendo en una alternativa más popular para el sector público. El 92% predice que utilizará cloud en los siguientes 12 meses y la mitad (55%) está de acuerdo con que la nube les permite disminuir los costes operativos. No obstante, un sorprendente 39% no tiene ninguna estrategia de copias de seguridad externas, por lo que si ocurriera un desastre ‘in situ’ no tendrían posibilidad de recuperación.
Casi todos los gestores de TI del sector público (76%) que participaron en la encuesta creen que su mayor reto en un ambiente híbrido es transferir los datos entre ambientes físicos, virtuales y de cloud. A pesar de esto, los resultados indican que la mayoría de empresas todavía falla en la consolidación de sus herramientas de copias de seguridad y recuperación ante desastres de cara a hacer frente a este reto. Casi todos confían en múltiples herramientas, y un tercio (32%) utiliza tres o más soluciones distintas para proteger sus datos. Dos tercios (63%) utilizan diferentes soluciones de copias de seguridad para sus entornos virtuales y físicos.
Autor: Network World
Fecha: 30/03/2012
La mayoría de encuestados del sector público por el estudio de Acronis cita la falta de presupuesto y recursos como principales retos. Una tercera parte (33%) no invierte nada en copias de seguridad ni recuperación ante desastres y el 41% indica que no cuenta con personal capacitado de TI para gestionar todos sus sistemas.
La encuesta realizada por Ponemon Institute para Acronis a unas 6.000 pymes de 18 países mostró que más de la mitad (65%) de las organizaciones del sector público sufrirían un importante período de tiempo de inactividad en caso de que ocurriera un desastre. Las dos terceras partes dicen que sus operaciones de recuperación de desastres no están bien gestionadas, y casi la mitad (47%) declara que sus directivos no apoyan sus operaciones en este campo. Cuando se les preguntó si la protección de datos se había vuelto una prioridad algo más importante debido a los desastres naturales de 2011, solamente uno de cada cinco (21%) había informado a sus gerentes sobre los problemas a los que se enfrentan.
Los resultados de la encuesta indican que el sector público es relativamente lento, comparado con otros sectores, en adoptar la virtualización. De hecho, una cuarta parte (23%) de todas las organizaciones del sector público no ha adoptado ningún tipo de virtualización. Igualmente, el sector público es el que menos probabilidad tiene de proteger sus servidores virtuales, con el 70% afirmando que no realizan copias de seguridad de sus servidores virtuales con la misma frecuencia que la de sus servidores físicos, o que no sabe si lo hace.
Sin embargo, la nube se está convirtiendo en una alternativa más popular para el sector público. El 92% predice que utilizará cloud en los siguientes 12 meses y la mitad (55%) está de acuerdo con que la nube les permite disminuir los costes operativos. No obstante, un sorprendente 39% no tiene ninguna estrategia de copias de seguridad externas, por lo que si ocurriera un desastre ‘in situ’ no tendrían posibilidad de recuperación.
Casi todos los gestores de TI del sector público (76%) que participaron en la encuesta creen que su mayor reto en un ambiente híbrido es transferir los datos entre ambientes físicos, virtuales y de cloud. A pesar de esto, los resultados indican que la mayoría de empresas todavía falla en la consolidación de sus herramientas de copias de seguridad y recuperación ante desastres de cara a hacer frente a este reto. Casi todos confían en múltiples herramientas, y un tercio (32%) utiliza tres o más soluciones distintas para proteger sus datos. Dos tercios (63%) utilizan diferentes soluciones de copias de seguridad para sus entornos virtuales y físicos.
Autor: Network World
Fecha: 30/03/2012
Suscribirse a:
Entradas (Atom)
Entradas
