martes, 17 de julio de 2012
NCG, multada con 50.000 euros por incluir como moroso a un cliente que no lo era
Como la misma Agencia Española de Protección de Datos (AEPD) recuerda, los procedimientos sancionadores por el incumplimiento "de calidad" en la información que se suministra a los ficheros de morosidad son "numerosos". Esta vez le ha tocado a Novagalicia, como heredera del negocio de la fusión de las cajas y, a su vez, de una denuncia de un cliente contra Caixa Galicia que en septiembre de 2008 fue incluido en uno de esos registros por supuestos impagos. La investigación probó que la incorporación fue errónea y que la entidad cometió una infracción grave. La multa asciende a 50.000 euros.
La supuesta deuda ascendía a 1.600 euros por una operación con un grupo de empresas dedicadas a la venta directa de productos relacionados con el hogar, que cedió los derechos de cobro a una de las filiales de la antigua Corporación Caixa Galicia CXG y que a su vez lo traspasó a la antigua caja de ahorros, según consta en la resolución del organismo que dirige José Luis Rodríguez Álvarez, desde donde se incorporó la identidad del cliente, su domicilio y teléfono al registro Badexcug, uno de los registros de morosos más utilizado en el sector financiero, seguros, industria, promoción inmobiliaria e incluso las administraciones para comprobar la solvencia de una persona.
En ningún momento de la investigación quedó acreditada que la deuda realmente existiera ni que al cliente se le hubiera avisado de la cesión de los derechos de cobro del crédito. De hecho, el demandante acreditó que la financiación fue anulada "por desestimiento" con "la devolución de los enseres previamente objeto de la operación". Por sí sola, ésta ya sería una causa de incumplimiento de la ley que regula la protección de datos, pero es que además, cualquier empresa que quiera incluir una nueva alta en los ficheros tiene que alertar al afectado del impago con anterioridad y advertirle en caso de que no cumpla de la opción de incorporarlo a los listados. La AEPD sostiene que Caixa Galicia no aportó la "documentación suficiente" para demostrar que esta notificación se hubiera realizado.
La queja entró en el organismo en septiembre de 2010 y las pesquisas se fueron alargando desde entonces, con lo que por el medio llegó la fusión con Caixanova y luego la bancarización del negocio. Precisamente, en las alegaciones presentadas por Novagalicia, la entidad intentó escudarse en "la ausencia de responsabilidad en los hechos". Algo que la AEPD rechazó por el nacimiento del banco como "escisión por segregación de la totalidad de activos, pasivos y relaciones jurídicas" de Novacaixagalicia. La resolución le achaca "una vulneración del principio de calidad de dato" de la que debe responder Caixa Galicia "por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra para que se incluyan y mantengan en el fichero de solvencia patrimonial y crédito".
Entre un abanico de sanciones de entre 40.000 y 300.000 euros, la AEPD opta por una de 50.000 y recuerda que las entidades financieras "deben ser especialmente diligentes y cuidadosas" ante la continua movilización de información que manejan por su actividad.
Fuente: Faro de Vigo
Fecha: 17/04/2012
Denuncian fallos en la cadena de custodia de las historias clínicas al trasladarlas en ambulancia
El responsable de Seguridade e Saúde de la FGAMT-CIG, Ernesto López Rei, presentó, en la Delegación del Gobierno, una denuncia ante la Agencia Española de Protección de Datos en la que pide que se investigue y sancione a Ambulancias Xuvias, la empresa encargada del transporte de enfermos y accidentados, y al Chuac por vulnerar la legislación de protección de datos. López Rei indicó que los conductores de ambulancia se ven obligados a trasladar las historias clínicas del paciente, cuando no se les ha formado en este campo, se le entregan datos confidenciales sin ningún tipo de seguridad, incluso en sobre abiertos, lo que a su entender, rompe la cadena de custodia de una información personal. Asimismo, cuestionó que esto se realice sin ningún control documental de entrada ni de salida de las historias, lo que ha llevado, según indicó, que aparezca documentación extravíada hace días en algunos vehículos y sin que nadie la reclame. «É dicir, para a empresa e o hospital uns datos de máxima protección, como o historial clínico, teñen un carácter semellante ao dunha sonda, un respirador ou unha agulla. Non lles merecen máis protección nin máis control que o resto do mobiliario dunha ambulancia», consideró.
El responsable sindical aseguró que estas prácticas dejan en una situación de desprotección tanto a los pacientes como a los conductores.
Por su parte, desde el Complejo Hospitalario A Coruña se reconoció que han sido alertados de que, en las últimas horas, en servicios de traslados de pacientes el personal de las ambulancias se ha negado a trasladar las historias clínicas o cualquier otro informe que en determinados casos acompaña al paciente. Desde el Chuac, se considera que este personal está regido por el secreto profesional como cualquier otro profesional que participe en la red asistencial, por lo que no existe ningún riesgo de confidencialidad, y asegura que era una labor que se venía haciendo desde la iniciación del contrato, de la misma manera que se hace en el resto de Galicia y de España. Asimismo, desde el centro hospitalario se asegura que «el contrato de transporte sanitario no urgente de pacientes ingresados en centros hospitalarios implica que se traslada al paciente con aquellos medios tanto técnicos como materiales, necesarios para recibir la adecuada asistencia, por lo que el personal de la empresa de ambulancias debe portar con el paciente aquellos recursos necesarios que el personal sanitario estime conveniente para su asistencia».
Fuente: La Voz de Galicia
Fecha: 11/05/2012
Protección de Datos apercibe al alcalde por enviar misivas políticas antes del 22M
La Agencia de protección de Datos ya ha emitido su veredicto tras el expediente abierto al alcalde de Rafal, el socialista Manuel Pineda, por mandar misivas a los vecinos antes de las elecciones municipales del 22M, con contenido político.
La APD tilda de grave el hecho y apercibe al ahora primer edil y entonces candidato de los socialistas rafaleños por vulnerar la protección de datos de carácter personal, pero no insta a imponer medidas sancionadoras, pese a que deja abierta la puerta para la presentación de alegaciones ante la Audiencia Nacional, mediante un recurso contencioso administrativo.
Los hechos se remontan a finales del año pasado, cuando Protección de Datos investigó a Pineda. La investigación del organismo estatal tuvo su origen en el envío de cartas a diversos vecinos de la localidad por parte del entonces precandidato del Partido Socialista y que enojó a varios particulares, que pusieron los hechos en manos de la agencia gubernamental, lo que motivó la incoación de un expediente para esclarecer los hechos, por presunta vulneración de la Ley de Protección de Datos de Carácter Personal, que regula la privacidad de la información que custodian las administraciones o empresas de los particulares.
Algunos de los afectados se sintieron molestos al recibir en sus buzones una carta de Pineda felicitándolos por su cumpleaños. Tras el saludo, el socialista aclaraba que iba a ser el candidato a las elecciones municipales a celebrar en mayo y explicaba, según las cartas, «para que sepas que estamos trabajando para ti, para que participes en el futuro de Rafal, y éste sea más acorde con tus necesidades». El ahora alcalde seguía el texto con su ofrecimiento para que los particulares se pusieran en contacto con él, «para conocer tus problemas y tus ilusiones, aquello que realmente te motiva y te interesa» y les remitía su número de teléfono móvil y correo electrónico.
La agencia estatal explica ahora en su fallo que el primer edil comunicó a dicho organismo que los datos personales de los destinatarios de los envíos se obtenían «de forma progresiva de la propia convivencia en el pueblo y de los datos que posee el PSOE fruto de su labor política en las diferentes campañas electorales». Asimismo declaró que «no disponía de ningún registro de envíos, ni de soporte documental, ni de la fecha de remisión».
Protección de Datos siguió con su indagación y entabló contacto con el PSOE, que le comunicó que desconocía la procedencia de los datos personales de los destinatarios y que la cúpula socialista desconoce «los extremos y circunstancias de la comunicación».
La agencia atestigua en el expediente que Pineda no fue capaz de acreditar que contara con el consentimiento de los denunciantes para el tratamiento de sus datos personales y recuerda que este hecho es esencial y estima que el alcalde vulneró la cobertura legal que los particulares tienen para recibir cartas, si no han dado el consentimiento previo y considera grave esta vulneración.
Fuente: a Verdad
Fecha: 13/05/2012
Vulnerar la Ley de Datos le puede costar al Consistorio hasta 300.000 euros de multa
Entre 60.000 y 300.000 euros. O traducido a pesetas tal y como recoge la Ley, entre 10 y 50 millones le puede costar al Ayuntamiento de Benavente la creación de ficheros de datos protegidos sin autorización. Los ficheros creados sin observar la ley serían el Padrón de Tasas de Agua, Basura, Alcantarillado y Depuración; Licencias Urbanísticas y Ambientales; y Expedientes Recaudatorios de Apremio.
La Agencia Española de Protección de Datos (AEPD) acaba de comunicar al Ayuntamiento el acuerdo de inicio del procedimiento de declaración de infracción de administraciones públicas por la presunta infracción del artículo 20 de la Ley Orgánica de Protección de Datos, que está tipificada como grave.
La AEPD también ha nombrado instructores a dos funcionarios, que en su caso, tal y como recuerda la Agencia en su comunicación, pueden ser recusados.
El Ayuntamiento de Benavente se enfrenta, si los hechos son demostrados, a una sanción nunca antes impuesta. El inicio del procedimiento indica que se incurrió en una falta grave recogida al «Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el Boletín Oficial del estado o Diario oficial correspondiente».
Ahora, el Ayuntamiento de Benavente tiene un plazo de 15 días hábiles para que formule las alegaciones y proponga las pruebas que considere convenientes y ejercite el derecho a la audiencia. Este derecho es de obligatorio cumplimiento en realidad, porque de no efectuar alegaciones sobre el contenido del presente acuerdo de iniciación podrá ser considerado propuesta de resolución.
El origen de este procedimiento tiene que ver con otro de carácter municipal que se encuentra en vía judicial: el presunto alzamiento de bienes por parte de la administradora de la sociedad del Hotel Mercantil, del arquitecto proyectista, su marido, y del hijo de ambos para evitar el pago de la sanción impuesta a la promotora, del edificio, sanción de 300.000 euros más intereses.
Los tres afectados denunciaron el presunto uso ilegal de sus nombres al ser difundido públicamente. La AEPD terminó archivando las denuncias concretas pero advirtió que el Ayuntamiento había creado, también presuntamente, los tres ficheros de datos ya citados sin observar lo establecido en la Ley Orgánica.
Ahora el Ayuntamiento tendrá que justificar y probar que la creación de esos ficheros por el que se le imputa una falta grave tuvo motivos justificados y ajustados a derecho. La Agencia Española de Protección de Datos recuerda que el plazo máximo para resolver y notificar la resolución que se adopte en este procedimiento sancionador desde seis meses, teniendo en cuenta a las posibles interrupciones de su cómputo por causas imputables a los interesados, o por la suspensión del procedimiento. El plazo ha comenzado a corre con el acuerdo de inicio ya notificado. Solo si transcurrido este no se ha dictado resolución, se producirá la caducidad del procedimiento.
El apartado cuarto del tipo de sanciones de la Ley de Protección de Datos establece que la cuantía de las mismas (en este caso entre 60.000 y 300.000 euros) se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad.
En el presente caso, al ser la presunta infractora una administración pública, el director de la AEPD podrá dictar una resolución estableciendo las medidas que proceder adoptar para que cesen o se corrijan loas efectos de la infracción, que se notificará «al responsable del fichero, al órgano que dependa jerárquicamente y a los afectaos si los hubiera».
Además el director de la AEPD podrá proponer la iniciación de actuaciones disciplinarias, cuyo procedimiento y sanciones serán la establecidas en la legislación sobre régimen disciplinario de las administraciones públicas. También, el responsable de la Agencia deberá comunicar al Defensor del Pueblo tanto las resoluciones que dicte como las actuaciones que efectúe.
Fuente: La Opinión de Zamora
Fecha: 15/05/2012
Orange es multada con 50.000 euros por emitir cargos a la libreta de un niño de 10 años
Un nuevo escándalo de protección de datos ha salpicado a las operadoras telefónicaa. En esta ocasión, a Orange, filial de France Telecom, que ha sido sancionada con 50.000 euros por emitir varios cargos a la libreta de ahorro de un niño de 10 años.
La denuncia, que fue presentada por la madre del menor tras percatarse de varios cargos a favor de Orange en la cuenta de ahorro infantil de su hijo, dio origen a una investigación por parte de los inspectores de la Agencia Española de Protección de Datos (AEPD).
Tras realizar las averiguaciones oportunas, se constató que la filial de France Telecom habría girado hasta un total de 6 facturas entre julio de 2010 y marzo de 2011, la última de ellas, de 295 euros, 4 meses después de presentar la denuncia, “por no cumplir la permanencia asociada”.
Las alegaciones que realizó Orange han sido rechazadas en su totalidad por la AEPD, quien afirma rotundamente que, "en modo alguno, France Telecom ha acreditado que comprobara la edad de la denunciante, ni ha aportado documento alguno que lo acredite, como pudiera ser la solicitud del DNI, o incluso el propio DNI, sino que se apuntó el número del DNI (también erróneo) y comenzó a facturar un servicio a la cuenta bancaria proporcionada, sin realizar ninguna comprobación".
Dicho de otro modo, según la resolución, la operadora en ningún momento se preocupó en comprobar que los datos bancarios y personales eran correctos. La AEPD considera que France Telecom debería haber realizado las acciones necesarias para evitar que, como en este caso, los datos personales de un niño causaran alta en su sistema.
"Nadie puede alegar su propia torpeza" recuerda la sentencia, ni repercutir en el potencial cliente los errores derivados de llos mecanismos empleados para la contratación, como se deriva del propio artículo 10 Ley General de Consumidores y Usuarios, por lo que es la entidad quien tiene que asumir los riesgos de la contratación a distancia, minimizando éstos a través de la implantación de protocolos de actuación determinados que impidan supuestos como el ocurrido.
Sin embargo, la sanción de 50.000 euros se queda corta según Samuel Parra, socio de la firma ePrivacidad, empresa especializada en la protección de la privacidad en internet, quien indica que "las infracciones graves en materia de protección de datos pueden ser castigadas con multa de entre 40.001 y 300.000 euros; en este caso, la AEPD optó por quedarse en la parte inferior de la horquilla, pese a existir motivos suficiente y ejemplarizantes para haber impuesto la sanción en cuantía muy superior".
Fuente: Lainformacion
Fecha: 17/05/2012
Un juez insta al Ayuntamiento a retirar cámaras de vigilancia en el Consistorio
Un magistrado del juzgado de lo contencioso administrativo número 5 de Oviedo ha solicitado al Ayuntamiento la retirada de una serie de cámaras de videovigilancia instaladas en el interior del Consistorio si no aplica la ley de protección de datos. Según explicaron ayer fuentes de la Unión de Sindicatos Independientes del Principado de Asturias (USIPA), el Ayuntamiento de Gozón, en manos del Partido Popular, ha de explicar el motivo por el que se colocaron estos dispositivos en un edificio público.
Según las mismas fuentes sindicales, el Ayuntamiento de Gozón ha de especificar en un informe el momento en el que se ven las imágenes tomadas, quién las ve, cómo y por qué y, si es el caso, qué período tienen de validez las informaciones capturadas por las cámaras. Estos dispositivos instalados hace más de un año, según las mismas fuentes, están distribuidas por las dependencias municipales y no sólo cubren zonas de acceso común sino que también toman imágenes de los lugares de trabajo de los propios trabajadores municipales, algo a lo que también hace mención el magistrado en la sentencia judicial fechada el pasado 27 de marzo.
En el caso de que el Ayuntamiento de Gozón no asuma las directrices marcadas por el juzgado de lo contencioso-administrativo de Oviedo, la Unión de Sindicatos Independientes del Principado de Asturias pedirá la ejecución de sentencia para proceder a la retirada de las cámaras de videovigilancia instaladas en la Casa Consistorial de Luanco.
Fuente: La Nueva España
Fecha: 31/05/2012
Multa a un gimnasio de madrid por difundir datos personales de 9.000 clientes
La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa a un gimnasio de Madrid, 02 Centro Wellness Plenilunio, por difundir en un correo electrónico datos personales de 9.293 clientes.
En una resolución a la que ha tenido acceso Servimedia, Protección de Datos sanciona a esta empresa con una multa de 3.000 euros por una infracción, tipificada como ‘grave’, del artículo 10 de la Ley de Protección de Datos, que obliga al secreto profesional a los responsables de ficheros y a quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal.
La intervención de la AEPD tiene su origen en una denuncia que recibió de una clienta del gimnasio, B.B.B., a quien el centro remitió un correo electrónico en mayo del año pasado que contenía un fichero adjunto con datos de 9.293 personas, incluyendo los suyos. Ese fichero incluía el nombre, apellidos, domicilio, teléfono (línea fija y móvil), dirección e-mail, número de DNI y sexo de esos más de 9.000 socios.
02 Centro Wellness Plenilunio ha alegado a Protección de Datos que su intención era remitir un correo informativo de una campaña para perder peso, y así lo hizo a 334 clientes, pero la persona encargada de remitirlos, su responsable de estética y fisioterapia, “adjuntó por error un listado que tenía datos personales” de esos 9.293 clientes.
El gimnasio dice que ha pedido disculpas por este hecho a los destinatarios del correo y que ha tomado medidas, como la encriptación de todos sus documentos Word y Excel.
Sin embargo, la AEPD ha decidido multarle con 3.000 euros. “Ha quedado acreditado que 02 Centro Wellness remitió a terceros un documento en el que figuran los datos personales de abonados de la entidad (...) Esta información no puede ser facilitada a terceros, salvo consentimiento de los afectados o que exista una habilitación legal que permita su comunicación, que no concurren en el presente caso. Por tanto, queda acreditado que por parte de dicha entidad se vulnera el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado que terceras personas tuviesen acceso a datos personales de los afectados”, concluye la resolución.
Fuente: Eleconomista
Fecha: 19/05/2012
Condenan a un estudio fotográfico por usar el retrato de un niño como reclamo
La Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha confirmado la indemnización de 1.500 euros que un fotógrafo deberá abonar a la madre de un niño de dos años cuyo retrato fue utilizado, sin consentimiento, como reclamo en el escaparate de un estudio de fotografía.
La madre acudió al estudio para que se le realizasen varias fotografías a su hijo, unos retratos que finalmente no adquirió al no estar de acuerdo con el resultado. Al pasar días después frente al establecimiento, la mujer se sorprendió al ver varias de las fotografías de su hijo en el escaparate. Una de estas fotografías, de gran tamaño, permaneció durante varios meses en el escaparate, expuesta al público y al lado de la puerta de entrada.
La madre solicitó la retirada de las fotografías, a lo que el fotógrafo le contestó que no iba a atender dicha petición al considerarlas como una obra artística y ser él su autor. La Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha desestimado ahora el recurso del responsable del estudio fotográfico y ha confirmado la sanción, impuesta en noviembre de 2010 por la Agencia Española de Protección de Datos (AEPD) al concluir que el fotógrafo cometió una infracción de carácter grave contra la Ley de Protección de Datos de Carácter Personal.
Fuente: Eleconomista
Fecha: 05/06/2012
Protección de Datos culpa a Cultura de tirar a la basura documentos privados
La Agencia Española de Protección de Datos acaba de dictar una resolución en la que culpa a la Delegación Provincial de Cultura de la Junta de Andalucía de haber arrojado a la basura decenas de documentos entre los que había algunos que contenían información de carácter personal. Para la citada institución, Cultura cometió una infracción «grave» –en realidad, aclara Protección de Datos, fueron dos, pero en esos casos solo se destaca la más seria–. Por suerte para la Junta, «y dado el carácter puntual del hecho», el ‘castigo’ se limita exclusivamente a dejar patente el reproche. Bueno, y tal como prevé la ley, el organismo en cuestión también anuncia su intención de remitir el expediente al Defensor del Pueblo.
El incidente, que fue desvelado por IDEAL, ocurrió a principios de mayo del año pasado. Sin que todavía se sepa cómo ni por qué, media docena de bolsas de plástico de color negro aparecieron tiradas en una zona ajardinada situada entre el río Genil y el carril-bici que arranca en las inmediaciones de la Clínica La Inmaculada para adentrarse en la Vega. Era basura de la delegación de Cultura que había sido depositada en los contenedores que están colocados frente a la sede de dicho departamento, en el Paseo de la Bomba. Sin embargo, los desperdicios ‘recorrieron’ misteriosamente dos o tres kilómetros. Cultura siempre ha sostenido que fue algo intencionado para desprestigiar a la institución y denunció lo ocurrido ante la Policía, que abrió la correspondiente investigación.
En su informe, Protección de Datos no ahonda en esos detalles. Va a lo suyo y recuerda que las bolsas –repletas de papeles de todo tipo– contenían algunos documentos con información de carácter personal que no habían sido previamente triturados para impedir su lectura. A saber:tres fotocopias (una de ellas rasgada)de un DNIde una funcionaria de Cultura –esta persona reconoció que fue ella la que tiró a la papelera las fotocopias–, una nota simple del registro de la propiedad de Huéscar, una declaración jurada, un fax de un parte médico y una propuesta de segregación de parcelas «con el nombre» de los autores del expediente.
Garantizar la seguridad
Para la agencia, esa conducta atenta contra el artículo 9 de la Ley de Protección de Datos que, entre otras cosas, establece que el responsable de un fichero, «y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten la alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural».
Para Protección de Datos es evidente que en la delegación de Cultura se produjo una «vulneración de la seguridad» que permitió que los documentos con información privada «acabaran abandonados».
Si la Junta no está de acuerdo con el dictamen que ha emitido la agencia puede interponer un recurso ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
Fuente: Ideal
Fecha: 04/06/2012
La AEPD multa a Vodafone con 50.000 euros por no protección de datos
La Agencia Española de Protección de Datos (AEPD) le ha impuesto a Vodafone España una multa de 50.000 euros por una infracción grave de la ley de Protección de Datos de Carácter Personal al no evitar que un tercero modificará sin su autorización los datos personales y de facturación de un cliente.
En concreto, en octubre de 2010 tuvo entrada en la AEPD un escrito de un cliente de Vodafone que hacía constar que un desconocido había conseguido en varias ocasiones modificar sus datos personales que constan en los ficheros del operador.
Asimismo, el cliente indica que, a pesar de hacer constar esta cuestión a la operadora, no había obtenido de ésta una protección adecuada de sus datos, que han sido constantemente modificados por un tercero sin su autorización, realizando traspasos de saldo a teléfonos móviles de terceros y llegando incluso a rehabilitar una línea telefónica dada de baja por el denunciante.
La AEPD ha recordado en una resolución a la que tuvo acceso Europa Press que según la normativa vigente los responsables de los ficheros tienen obligación de garantizar una identificación y autenticación correcta a los usuarios.
En este sentido, la AEPD afirma que queda acreditado que Vodafone no adoptó las medidas de seguridad pertinentes a fin de garantizar la correcta autentificación del usuario que accede a sus sistemas.
Para la agencia la infracción de Vodafone España consiste en la "reiterada" falta de diligencia demostrada por la operadora, que ante las continuas reclamaciones y denuncias de su cliente por el acceso de un tercero a sus datos no articuló una medida de seguridad efectiva, limitándose a insistir en el sistema implementado.
Fuentes de Vodafone han precisado a Europa Press que se pasaron en todo momento las políticas de seguridad que se utilizan en estos casos y que el problema recaía en un tercero que tenía acceso a las claves del cliente.
En este sentido, la operadora explica en la resolución que para aquellas gestiones que puedan causar un perjuicio grave al cliente se requiere conocer una clave o un conjunto de datos del usuario. Asimismo, la filial española afirma que no ha existido "intencionalidad" y que esta situación no le ha reportado beneficios económicos e invoca su "total ausencia de culpabilidad".
Fuente:europa Press
Fecha: 12/06/2012
Una estudiante denuncia a la UdG ante Protección de Datos por dar información personal a Mossos
Una estudiante de la Universitat de Girona (UdG) ha denunciado al centro ante la Autoridad Catalana de Protección de Datos (APDCAT) de la Generalitat por presuntamente ceder sus datos personales a los Mossos d'Esquadra sin contar con su consentimiento y por usarlos para un fin diferente por el cual se recogieron.
Según consta en la denuncia, la UdG facilitó tanto el domicilio donde reside la chica como la carrera en la cual está matriculada, lo que permitió que se la pudiera identificar e imputar un delito por los altercados y el desalojo del claustro de la universidad el pasado 16 de diciembre durante el acto central de celebración de los veinte años del centro.
El abogado Benet Salellas ha explicado en rueda de prensa que estos datos se han facilitado de manera intolerable ya que la universidad ha accedido a participar en una ilegalidad, "porque no se puede investigar a cualquier precio", además de que se está cometiendo una infracción calificada de muy grave según la Ley de Protección de Datos de Carácter Personal.
El letrado ha detallado que también se ha denunciado a la Conselleria de Salud por facilitar el parte médico del Sistema de Emergencias Médicas (SEM) después de atender a la chica por heridas producidas por la carga policial.
Según Salellas, si ambas denuncias prosperan podría producirse la anulación de parte del procedimiento contra los estudiantes encausados.
Después de las últimas identificaciones se ha imputado a cuatro estudiantes más de los que protestaban contra los recortes, y ya son doce el total de encausados por los incidentes registrados en el claustro de la UdG, once estudiantes y un miembro del PAS.
TRES MOSSOS A JUICIO
Salellas también ha explicado que este jueves 14 de junio se celebrará en el Juzgado de Instrucción 2 de Girona el juicio contra los tres mandos de los Mossos d'Esquadra que el día de los altercados dirigían el operativo: un intendente, un subinspector y un sargento.
En la rueda de prensa también estaba el profesor Xavier Besalú, que ha afirmado que la decisión de hacer entrar a la policía catalana al claustro de la universidad fue "desafortunada y de consecuencias imprevisibles que han provocado que la relación entre los estudiantes y la UdG se enrareciera".
El estudiante Pau Adroguer ha leído un manifiesto a favor de los doce encausados en el que se critica que permitiera la carga de los Mossos en un espacio tan reducido como el claustro de la Facultad de Letras.
"Cualquier persona con dos dedos de frente podría prever que, si se dejaba entrar a hombres armados en el claustro, la carga sería violenta", ha indicado, además de preguntarse qué se está haciendo mal si para resolver un conflicto tienen que usarse las armas.
Fuente: Europa Press
Fecha: 12/06/2012
La AEPD pide a los medios que restrinjan el acceso ‘online’ a sus noticias con datos personales
La Agencia Española de Protección de Datos (AEPD) ha hecho un llamamiento a los medios de comunicación para que eviten la “divulgación indiscriminada” y “permanente” en Internet de noticias antiguas que hayan difundido que incluyan datos personales.
La AEPD ha aprobado una resolución en la que desestima una reclamación de un particular contra los diarios ‘El País’ y ‘Abc’, a los que acusó de no haber atendido debidamente su ‘derecho de cancelación’.
Este ciudadano pidió a los dos diarios que bloquearan el acceso a través de motores de búsqueda de Internet a informaciones pasadas disponibles en sus históricos que hacían referencia a su persona.
‘Abc’ quitó la reseña disponible en Google, pero ‘El País’ adujo que ‘los datos que el reclamante le solicitan que se cancelen se refieren a hechos publicados porque fueron noticia (...), no pudiendo realizar ninguna modificación de la noticia de sus propios archivos, ya que ésta forma parte de la información pública y de los históricos”.
Protección de Datos da por sentado que los medios tienen derecho a publicar datos personales siempre que se consideren de relevancia pública y la información facilitada sea veraz, y no cree que haya lugar a estimar la reclamación en este caso.
“No obstante”, añade, “deberían valorar la necesidad de que su actuación se dirija a conciliar, en mayor medida, el derecho a la libertad de información con la aplicación de los principios de protección de datos personales”.
"DIVULGACIÓN EXPONENCIAL"
La agencia sugiere que, “en primer lugar, debiera ponderarse escrupulosamente la relevancia pública de la identidad de las personas afectadas por el hecho noticiable para, en el caso de que no aporte información adicional, evitar la identificación mediante la supresión del nombre e incluso, si fuera necesario, de las iniciales a cualquier referencia suplementaria de la que pueda deducirse la identificación, en el caso de que el entorno sea limitado”.
La resolución, a la que ha tenido acceso Servimedia, subraya que no cabe duda de que el desarrollo de Internet y la implantación generalizada de los motores de búsqueda suponen “una actualización y divulgación exponencial y permanente de la información en prensa, así como de los datos personales incluidos en la misma como la identidad de las personas”.
Por ello, la AEPD sostiene que los medios deberían “reflexionar sobre la trascendencia que tiene mantener de manera permanente una absoluta accesibilidad de los datos contenidos en noticias cuya relevancia informativa, probablemente, es inexistente en la actualidad. Y tener en cuenta la trascendencia sobre la privacidad de las personas que puede derivarse de ello”.
“En este sentido, los medios de comunicación deberían usar medidas informáticas para que, en el caso de que concurra interés legítimo de un particular y la relevancia del hecho haya dejado de existir, se evite desde su webmaster la indexación de la noticia por los motores de búsqueda de Internet. De esta forma, aún manteniéndola inalterable en su soporte ya que no se borraría de sus archivos ni de sus históricos, se evitaría su divulgación indiscriminada, permanente y, en su caso, lesiva”.
REFERENCIA INNECESARIA
Por otro lado, la Agencia de Protección de Datos ha emitido otra resolución en la que estima una reclamación de un ciudadano contra Google, porque no atendió su petición de cancelación de un vídeo colgado en Youtube en el que se le veía hablando con otra persona.
Google alegó que la normativa española de protección de datos no es aplicable a la actividad de alojamiento de vídeos en Youtube, dado que el servicio se presta desde servidores ubicados fuera de España.
Pero la AEPD ha concluido que procede la retirada de las imágenes en litigio porque son “una referencia innecesaria” “carentes de relevancia pública” y “existen indicios que evidencian que Google actúa como representante del servicio ofrecido por Youtube”.
Fuente: diariosigloxxi
Fecha: 13/06/2012
Sanción a Telefónica por dar de alta a un cliente sin permiso
Este cliente vio como a su cuenta bancaria llegaron recibos durante varios meses por valor de 70 euros.
La compañía Teléfonica Móviles deberá abonar 30.000 euros por haber dado de alta a un cliente de Santa Cruz de Tenerife sin contar con su permiso. El vecino acudió a la Agencia Española de Protección de Datos (AEPD) para denunciar por estos hechos a la empresa, que a su vez no pudo aportar ningún tipo de documento que certificara que efectivamente el cliente había ofrecido su consentimiento para dar de alta esta nueva línea. Únicamente Teléfonica puso sobre la mesa un contrato con una firma que no correspondía a la del denunciante. Por todo ello, la Agencia para la Protección de Datos consideró que la compañía había incurrido en una falta considerada grave, cuya sanción oscila entre los 40.001 y los 300.000 euros.
Telefónica Móviles llevó a cabo esta contratación de la línea a través de otra empresa que tiene su sede en la calle Villalba Hervás de Santa Cruz de Tenerife pero utilizando la información que estaba depositada en su base de datos . Aunque el cliente poseía otra línea, la firma de ambos contratos no coincidían, con lo cual una de ellas estaba falsificada. Incluso Telefónica admite que este último extremo debe dilucidarse en la vía penal. En total este cliente vio como a su cuenta bancaria llegaron recibos durante varios meses por un valor total de 70 euros. Para la Agencia no quedan dudas de que todas las circunstancias mencionadas son “indicios que evidencian un tratamiento de datos sin el consentimiento del denunciante”.
Este organismo considera probado que el cliente nunca formalizó contrato alguno con la empresa para dar de alta esta línea, ni consintió en el tratamiento de los datos personalles. “Telefónica Móviles de España no ha presentado ninguna prueba que pueda evidenciar que contaba con el consentimiento del denunciante o relación contractual que le exima del mismo, ya que el contrato que se ha aportado tiene unas firmas que el denunciante no reconoce como propias”. Igual de grave resulta el hecho de que los datos de este cliente fuesen remitidos a un listado de morosos por negarse a pagar las facturas a pesar de la denuncia que había interpuesto previamente.
Aunque la sanción impuesta por la Agencia se encuentra dentro del arco de las consideradas leves, al estar por debajo de los 40.000 euros, es calificada de grave. El hecho de que se aminore la cifra a pagar es debido a que, tras la reclamación del cliente, se anularon las facturas en un breve plazo de tiempo y la ausencia de beneficios obtenidos y de perjuicios causados. Sin embargo, también se tuvo en cuenta el volumen de negocio de la compaía cifrado en algo más de 2.500 millones de euros y un resultado económico de casi 2.000 millones en el año 2010.
Fuente: Canarias Ahora
Fecha: 13/06/2012
Régimen jurídico de comunicaciones comerciales electrónicas tras el RD 13/2012
Las recientes modificaciones introducidas por el artículo 4 del Real Decreto 13/2012, de 30 de marzo, dan ocasión para resumir cómo queda la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio electrónico (LSSI), en lo que se refiere a las comunicaciones comerciales por vía electrónica; pues es posible que al ejecutar una campaña de marketing on-line, sin adoptar las previsiones adecuadas, se esté “spameando”. Sirva entonces este breve repaso para verificar la legalidad o no de comunicaciones comerciales electrónicas.
En primer lugar, debemos analizar en qué casos se puede remitir un correo comercial a una dirección determinada. Respondida esta pregunta, prestaremos atención al contenido del mensaje que aparecerá en el correo electrónico.
¿A quién puedo remitir información comercial vía electrónica?
Es posible que las direcciones de correo, si permiten la identificación de una persona (por ej, manuelgarcia@hotmail.com), entren dentro del ámbito de aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Y en esos casos será necesario comprobar el cumplimiento de todos los aspectos de esta norma, prestando especial atención al deber de información, que debe incluir todo envío de comunicaciones comerciales por medios electrónicos). Es decir, que para poder remitir información comercial al destinatario este debe haber sido informado previamente de que el remitente se propone utilizar su correo electrónico en este sentido.
Por otra parte debe darse opción al interesado para oponerse al envío de comunicaciones comerciales. En este sentido, bastaría, en el momento de recogida de datos, con habilitar una casilla para que el posible destinatario marque si desea recibir comunicaciones comerciales electrónicas. Es importante verificar que el tratamiento de datos es correcto, ya que es muy posible que a la infracción por “spam” puedan añadirse las relativas a la infracción de la LOPD. Recuérdese que la normativa prohíbe el envío de comunicaciones comerciales electrónicas no solicitadas o sin el consentimiento expreso del afectado. El legislador no obstante “abre la mano” en el apartado 2. del artículo 21 LSSI siempre que concurran los siguientes requisitos:
Que exista una relación contractual previa,
Que además se cumpla con la LOPD (lo explicado anteriormente)
Y que el producto o servicio ofertado sea de la propia empresa y similar al inicialmente contratado
Es decir, se permite el envío de comunicaciones comerciales electrónicas no solicitadas si existe una relación contractual previa, los datos han sido legalmente obtenidos y el producto ofertado es similar a los inicialmente contratados. Aquí la dificultad interpretativa está en determinar esa similitud entre el “producto ofertado” en la nueva comunicación y los ya contratados en virtud de esa relación previa. Entiendo que, dado el régimen restrictivo por el que opta el legislador, en caso de compra de, por ejemplo, un ordenador, podría aceptarse el envío de información acerca de productos idénticos (otros ordenadores) o accesorios (fundas, baterías, ampliación RAM, periféricos, etc…).
Una vez verificada la viabilidad de enviar el correo electrónico, bien porque se haya solicitado información comercial, o bien por contar con autorización expresa del destinatario o cliente y por tratarse de información sobre productos similares a los ya contratados con la misma empresa, debemos prestar atención al contenido del mismo.
¿Cómo tiene que ser el correo electrónico?
Se establecen ciertas obligaciones formales, estructuradas en la información que necesariamente ha de aparecer en el correo electrónico comercial. Veremos que el nuevo párrafo 4 del artículo 4, introduce un elemento extraño en este esquema, en tanto se establecen prohibiciones de contenido.
Al comienzo del mensaje debe aparecer la palabra “publicidad” o “publi”. Se puede hacer esta mención en el “asunto” del mensaje.
Debe de constar claramente quién es el remitente del mensaje. El legislador insiste en este sentido, reiterando esta obligación en apartados diferentes. Así, se requiere que la persona que efectúe la comunicación sea claramente identificable y añade un nuevo párrafo, el 20.4, que prohíbe expresamente el envío de comunicaciones comerciales que oculten la identidad del remitente, así como las que inviten a visitar páginas web que no cumplan el artículo 20 LSSI. Entiendo cumplido el requisito de identificación en la medida que se dé al destinatario una información sencilla y accesible para establecer contacto directo con el remitente.
Mayores dificultades interpretativas encontramos en la última frase del nuevo párrafo del artículo mencionado, que prohíbe el envío de comunicaciones comerciales “en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo”. En mi opinión, la redacción no es muy afortunada. Así, siendo la rúbrica del artículo “Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos”, se introduce un filtro de contenido, es decir, es necesario que las páginas web a las que se enlaza cumplan ciertos requisitos. ¿Cuáles? Entiendo que la interpretación más coherente es acudir al apartado 2 y aplicar los requisitos establecidos en este artículo para las comunicaciones comerciales a las páginas web que se pretenda enlazar. Por tanto, en mi opinión,lo que se prohíbe es el envío de comunicaciones comerciales electrónicas que incluyan enlaces hacia páginas web que no identifiquen adecuadamente las ofertas promocionales, o cuyas condiciones de acceso o participación no sean fácilmente accesibles, o no se expresen de forma clara e inequívoca.
El correo debe incluir un modo sencillo de darse de baja, por ej el ya conocido “pulse aquí para darse de baja”.
Y como novedad, es necesario incluir una dirección de correo electrónico válida para oponerse al tratamiento de datos. En este sentido, entiendo por “válida” cualquier dirección en la que se atienda al destinatario cuando ejerce su derecho de oposición. Se ha apuntado en diversos foros que este nuevo párrafo prohíbe los “no-reply”, es decir, aquellos correos que no admiten respuesta. De la lectura del artículo 21.2 de la LSSI, considero que sería posible utilizar este tipo de direcciones, siempre y cuando se incluya una dirección efectiva de correo para atender las peticiones de baja de los usuarios.
En resumen, el envío de correos electrónicos comerciales requiere bien el consentimiento expreso o petición del afectado, o la existencia de una relación contractual previa. En este caso, la información remitida ha de ser de la propia empresa y relativa a productos o servicios similares. En cuanto al contenido del correo, ha de constar la palabra “Publicidad” o “Publi”, además de identificar al remitente e incluir: una forma sencilla para darse de baja y un correo electrónico válido para atender las peticiones de baja. Por último, se prohíbe el envío de información sobre páginas web que no identifiquen adecuadamente sus ofertas promocionales, o que sus condiciones de acceso o participación no sean fácilmente accesibles o no se expresen de forma clara e inequívoca.
Fuente: Diariojuridico
Fecha: 16/05/2012
Un despacho murciano denuncia a Google por su servicio Street View
Los coches de Google iniciaron hace unas semanas su recorrido por la geografía española para nutrir su servicio Street View -que permite explorar en el ordenador lugares de todo el mundo mediante imágenes a pie de calle-. Su actividad, sin embargo, se pone a veces en entredicho. Es el caso, por ejemplo, de un despacho de murciano, Eprivacidad, que ha denunciado a la multinacional ante la Agencia Española de Protección de Datos por supuestamente fotografiar y publicar sin permiso imágenes de casas, coches y personas en las que resultan reconocibles.
La denuncia de este despacho recuerda que la citada agencia ya informó en abril de que la compañía Google había iniciado una nueva campaña de captación de imágenes. Estos letrados recuerdan a la agencia que, tal y como informaba, se le exigía a la compañía que se comprometiera a no captar en ningún caso datos de localización de redes wifi, ni datos transferidos mediante las mismas; a aplicar una tecnología de difuminado permanente e irreversible aplicable a rostros identificables y matrículas de vehículos, y a poner a disposición de los usuarios una herramienta mediante la que pueden informar sobre cualquier imagen que aparezca sobre ellos.
Con estos puntos, Eprivacidad considera que la agencia autorizó a Google a capturar «las imágenes de millones de personas, matrículas de vehículos y cualesquiera otros datos personales que puedan figurar en la vía pública, siendo consciente, además, de que está información tiene como destino ser publicada en internet». El despacho murciano le recuerda, sin embargo, que, según la Ley de Protección de Datos de Carácter Personal (LOPD), el tratamiento de datos de carácter personal requerirá el consentimiento inequívoco del afectado. Una circunstancia que, asegura, no se da en este caso.
La denuncia de Eprivacidad incide, además, en otra cuestión. Según recalca el documento, «se está procediendo a publicar caras sin difuminar y matrículas de vehículos sin difuminar en Internet». Para dar cuenta de esta circunstancia, el despacho ha anexado a su denuncia una serie de imágenes captadas del servicio en las que se pueden ver personas cuyos rostros no han sido difuminadas.
Vulneración de la Ley
Estos hechos, según este despacho de abogados, supone una vulneración del artículo 10 de la LOPD, que dispone que «el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo». Por este motivo, solicita a la agencia que inicie un procedimiento sancionador contra la compañía.
Fuente: La Verdad
Fecha: 17/05/2012
La AEPD lanza su sede electrónica para realizar trámites de forma más rápida
La Agencia Española de Protección de Datos (AEPD) ha abierto su sede electrónica para que ciudadanos, empresas y administraciones puedan realizar los trámites y escritos a través de Internet. Esta sede permite realizar de manera online la solicitud de la tutela de sus derechos reconocidos por la LOPD, presentar denuncias, realizar consultas, así como enviar quejas y sugerencias.
La Sede electrónica de la Agencia Española de Protección de Datos (AEPD) ya ha llegado a la Red. A través de esta plataforma, los usuarios podrán comunicarse con la AEPD y realizar los trámites desde su propio ordenador a través de Internet, utilizando un certificado electrónico, que asegura la confidencialidad, así como el correcto envío y recepción de los documentos.
El objetivo de esta plataforma será que ciudadanos, empresas y administraciones puedan realizar los trámites, el envío de solicitudes y presentación de escritos a través de Internet. Además gracias a su llegada a la web, esta sede ha ampliado la oferta de servicios de administración electrónica que ya ha estado ofreciendo la Agencia desde hace años, como el sistema de Notificaciones Telemáticas de la Agencia (NOTA), que funciona desde 2006.
Para todos aquellos que no dispongan de firma o certificado electrónico, tienen la posibilidad de realizar trámites cumplimentando los formularios disponibles en la Sede y enviándolos por Internet, aunque deberán remitir posteriormente un ejemplar firmado a la Agencia.
Entre las posibilidades que ofrece esta plataforma, destaca la opción de solicitar la tutela de derechos reconocidos por la LOPD ante la Agencia, presentar denuncias, consultar el estado de los trámites en curso, efectuar quejas y sugerencias, y enviar consultas. Existe además un espacio donde la Agencia dará cuenta de las novedades que afecten a la Sede.
También permite que particulares, empresas o administraciones puedan notificar ficheros de forma gratuita a la AEPD, e incorpora a los servicios que ya se ofrecían nuevas funciones como la posibilidad de solicitar una copia de la inscripción de ficheros o consultar el contenido de la inscripción. La sede cuenta con un Registro Telemático mediante el cual se pueden presentar por vía electrónica aquellas solicitudes, escritos y comunicaciones que no dispongan de un procedimiento electrónico las 24 horas.
Esta Sede podrá usarla cualquier tipo de usuario, ya que contiene facilidades a nivel funcional y facilita un rápido acceso a la información. Contiene enlaces para encontrar cualquier sección de manera fácil pudiéndose acceder a los servicios con una sencilla visualización.
Otra de las características de la plataforma es que se ha puesto a disposición de los usuarios, canales de acceso (electrónico, presencial y telefónico), la fecha, hora y calendario de días hábiles; quejas y sugerencias, así como la posibilidad de consultar el estado de los trámites en curso o los documentos aportados, entre otros.
La Sede Electrónica se complementa con un apartado de enlaces a páginas de interés, como el BOE; 060.es (oficinas de atención al ciudadano que informan sobre los servicios de las Administraciones Públicas); el DNI electrónico; el Registro Electrónico Común, o las Brigadas de Investigación Tecnológica de la Policía Nacional y la de Delitos Telemáticos de la Guardia Civil.
Fuente: eleconomista
Fecha: 18/05/2012
La Agencia de Protección de Datos denuncia a Sanidad por dejar filtrar datos de pacientes desde su web
La Agencia Española de Protección de Datos ha emitido una resolución en la que pone de manifiesto que la Consejería de Sanidad cometió dos infracciones de carácter grave contra la Ley de Protección de Datos de Carácter Personal, (LOPD), al permitir que se filtraran datos de pacientes a través de su web. En concreto, considera que vulneró el deber de secreto garantizado, al haber posibilitado que terceras personas tuviesen acceso a datos personales de usuarios, y que no impidió “de manera fidedigna” que un usuario accediera a datos de otros ciudadanos.
La resolución, conocida por Ical, pone fin a la vía administrativa, y se pondrá en conocimiento del Defensor del Pueblo. Según fuentes del despacho de abogados especializados en protección de datos www.salirdeinternet.com, esta infracción podría haber supuesto para una empresa una sanción de hasta 600.000 euros, teniendo en cuenta que, por ejemplo, Vodafone fue sancionada con 100.000 euros por una incidencia que provocó que se pudiera acceder a los datos de 22 clientes y que solventó en 24 horas.
Los hechos se remontan a marzo de 2011, cuando un usuario de Sacyl accedió a la web de la Consejería para realizar una reclamación, y comprobó que al cambiar en la URL el número de reclamación podía ver las presentadas por otros usuarios. Entre otros datos personales, relativos al nombre, apellidos, dirección, correo electrónico, se podían leer las reclamaciones o sugerencias y, en algunos casos, datos vinculados a su salud.
El denunciante, cumplimentó un documento alertando a la Consejería de la incidencia, y desde la Dirección General de Planificación, Calidad y Ordenación se le acusó recibo de la reclamación. Si bien, comprobó que el problema no se había subsanado, por lo que puso los hechos en conocimiento de la Agencia Española de Protección de Datos.
Tras una notificación de la Agencia, firmada por su director, José Luis Rodríguez Álvarez, la Consejería reforzó los sistemas de seguridad para blindar los accesos. De hecho, emitió un informe en el que puso de manifiesto que en seis años había sido la única incidencia denunciada, y en el que explicaba los diferentes sistemas de protección.
En concreto, la Consejería vulneró los artículos 9 y 10 de la Ley de Protección de Datos de Carácter Personal, tipificadas como graves en los artículos 44.3.h y 44.3.d de esta norma. Debido a que tomó las medias adecuadas para subsanar la incidencia, la Agencia de Protección de Datos ha decidido no instar a que adopte otras medidas.
Fuente: Leonoticias
Fecha: 31/05/2012
Crecen las peticiones para borrar datos personales de Internet
La Agencia Española de Protección de Datos (AEPD) ha confirmado que cada vez son más los ciudadanos que recurren a este organismo para solicitar que se eliminen de internet y de los boletines oficiales determinados datos sobre su persona. Hace escasas fechas la Agencia aceptó ejercer la tutela de una tinerfeña que exigía que borraran del Boletín Oficial de Canarias (BOC) la sentencia de divorcio con su exesposa. "Efectivamente en los últimos años un número creciente de ciudadanos ha recurrido a nuestra agencia solicitando la tutela de sus derechos, tras pedir la cancelación de sus datos en páginas de Internet de diversa índole", se señala desde este organismo.
Igualmente varios vecinos muestran su oposición a que estas referencias sean recopiladas y difundidas por buscadores de Internet. En muchos casos, el origen de las reclamaciones se encuentra en la publicación de datos personales en boletines y diarios oficiales y medios de comunicación.
La Agencia indica que con respecto a los boletines oficiales, son varios los ciudadanos que han solicitado a estos organismos que no permitan la indexación de sus datos personales. En este sentido, la Agencia destaca que "si bien en líneas generales los vecinos no pueden oponerse a la publicación en el diario oficial o diarios oficiales de las comunidades autónomas de sus datos personales en los términos que se prevén en las leyes -por encontrarse amparada legalmente la publicación de los actos o disposiciones- hay que indicar que la Agencia sí ha tutelado en diversas ocasiones su derecho de oposición a que se permita la indexación de sus datos cuando concurre un motivo legítimo y fundado, en el sentido previsto en el artículo 6.4 de la Ley Orgánica de Protección de Datos (LOPD)".
En el caso concreto de esta tinerfeña precisamente la AEPD estimó la reclamación planteada sobre la difusión de sus referencias a través del BOC, instando a la entidad a adoptar las medidas necesarias para evitar la indexación de dichos datos e impedir que puedan ser captados por los motores de búsqueda de Internet. Sin embargo, se matiza que sólo si se trata de una denuncia el procedimiento podría culminar en una sanción, mientras que en esta circunstancia concreta se ejerción una tutela que culminó con la orden de que se elimine del Boletín el nombre de esta ciudadana, "aunque no podemos evitar que se borren todas las referencias a su persona de la red", se matiza.
La Agencia apunta que en otros muchos casos es posible encontrar en su página web resoluciones de ciudadanos que dirigen sus reclamaciones directamente al buscador, o frente a los buscadores y el diario oficial que se trate. Así lo hizo esta tinerfeña quien de todas formas aún no ha conseguido, al menos hasta el pasado viernes, que se eliminara la publicación tal y como había reclamado. "En este sentido, cuando se trata de informaciones que, no siendo posible retirar en origen por motivos fundados, afectan de manera significativa a la valoración social de la persona, las resoluciones de la AEPD han instado a los buscadores y a los boletines a adoptar las medidas necesarias para retirar dicha información de su índice e imposibilitar el acceso futuro", se indica por último desde este organismo.
fuente: Canarias Ahora
Fecha 04/06/2012
Puig no consultó a Justicia el lanzamiento de la web para identificar 'vándalos'
La Consejería de Interior de la Generalitat no consultó al Tribunal Superior de Justicia de Cataluña (TSJC) sobre la página web para identificar vándalos que puso en marcha el martes, y que ya incluye a 68 personas que presuntamente participaron en los altercados de la huelga general del 29 de marzo, han confirmado fuentes judiciales. Interior admite que se forzó la ley para encarcelar a vándalos
Interior no se lo comunicó al presidente del TSJC, Miguel Ángel Gimeno, tampoco a la fiscal superior de Cataluña, Teresa Compte, y únicamente lo hizo el día anterior a la juez decana de Barcelona, Maria Josep Feliu, pero sin pedir su opinión, según informa El País en su edición digital.
Interior aseguró el martes que había obtenido la "autorización del juez competente" para colgar en la página web las imágenes de estas personas presuntamente relacionados con los altercados del 29 de marzo.
La función de la web
Según fuentes judiciales, lo que se hizo concretamente fue tratar la cuestión con los juzgados de instrucción de Barcelona que tienen abiertas causas en relación con estos disturbios.
Algunos juristas se han pronunciado sobre la web y aseguran que puede vulnerar los derechos de las personas que en ella aparecen así como la LOPD.
Interior confía en que la web sirva para disuadir a los vándalos de cara a futuras actuaciones, y pide la colaboración de la ciudadanía para delatarlos.
De momento, la página web ha registrado 140.000 visitas en sus primeras 24 horas. La Dirección General de Policía de Cataluña ha valorado este miércoles de forma "muy positiva" el arranque de la web.
Fuente: eleconomista
Fecha: 25/04/2012
Una web filtra por error 100 mensajes de felicitación al rey
La Agencia Española de Protección de Datos ha emitido una resolución en la que pone de manifiesto que una web cometió una infracción de carácter grave contra la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), por exponer públicamente los mensajes electrónicos de felicitación dirigidos por cerca de un centenar de personas al Rey, con ocasión de la celebración del 35º aniversario de su reinado.
Junto al texto íntegro de cada mensaje se incluía el nombre del remitente, su dirección electrónica y su dirección de correo ordinario. Según informaron a Servimedia fuentes del despacho de abogados especializados en protección de datos www.salirdeinternet.com, esta infracción podría haber supuesto para la web una sanción de 40.001 a 300.000 euros.
Dicha cantidad se planteó inicialmente por la Agencia, sin embargo la resolución ha optado por apercibir a la web y no imponer una sanción económica, al considerar que se adoptaron medidas correctoras y que no existió un beneficio a consecuencia de la infracción.
Los hechos se remontan a septiembre de 2011, cuando un ciudadano presentó una denuncia informando que sus datos eran visibles a través de Google, y estaban relacionados en la web en la que se felicitaba al Rey.
Cuando la Agencia de Protección de Datos revisó la página web y comprobó que ésta publicaba las felicitaciones junto con el resto de datos personales, y que eran accesibles desde google, los responsables de la página aseguraron que habían recogido las felicitaciones de sus lectores para imprimirlas y enviarlas posteriormente a la Casa Real.
Sin embargo, según explicaron, una copia se almacenó en su base de datos sin protegerse, siendo fácilmente accesible desde Google desde que instalaron erróneamente el programa google analytics.
A consecuencia de la intervención de la Agencia de Protección de Datos, la web procedió a regularizar la situación, borrando el archivo y eliminando los rastros en google.
Según la Agencia, “el denunciado estaba obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a autenticar al usuario. Sin embargo, ha quedado acreditado que dichas medidas no habían sido tomadas cuando sucedieron los hechos denunciados, por lo que se incumplió esta obligación”
En concreto, la web vulneró, según consta en la resolución, el artículo 9 de la Ley de Protección de Datos de Carácter Personal, tipificado como grave en el artículo 44.3.h de esta norma.
Fuente: eleconomista
Fecha: 09/06/2012
Radio Taxi Córdoba, apercibida por la Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos (AEPD) ha dictado, con fecha del pasado 31 de mayo, una resolución de apercibimiento contra Radio Taxi Córdoba, "por infringir el artículo 5.1 de la Ley Orgánica de Protección de Datos (LOPD)", como consecuencia de que, en mayo de 2011, la organización de consumidores Facua-Córdoba presentó una denuncia en nombre de una asociada que supuestamente se encontraba sancionada por la entidad, por lo que se le negó el servicio del taxi. Esta denuncia derivó en una inspección.
Según ha informado Facua, la AEPD entiende como hecho probado que los datos personales de la afectada se hallaban incluidos en una base de datos de Radio Taxi Córdoba y dicha entidad "no acreditó que dispusiera de un sistema que, ante la llamada telefónica en la que se solicita el servicio del taxi y los datos para su prestación, se informase de los extremos que el artículo cinco de la LOPD preceptúa".
Radio Taxi Córdoba, según Facua, "aportó grabaciones en las que se informaba a los clientes, en una alocución, de la grabación y finalidad de la recogida de datos y sede ante la que ejercitar los correspondientes derechos". Sin embargo, los servicios de inspección de la AEPD constataron posteriormente, "mediante llamadas realizadas a la emisora, en diferentes días y horas, que solo en una de las ocho llamadas realizadas se informó de que se iba a grabar, no indicándose a qué efectos, mientras que en las otras siete restantes no llega a comenzar ni siquiera ninguna locución".
Además también deja en claro la resolución, que no se ha acreditado "que, tras el acuerdo de audiencia al apercibimiento de fecha 24 de abril, la denunciada haya corregido la conducta infractora".
En consecuencia, la agencia ha requerido a la Asociación Provincial de Trabajadores Autónomos de Auto-Taxi de Córdoba que acredite, en el plazo de un mes desde que haya sido notificada la resolución, el cumplimiento de lo previsto en el artículo 5.1 de la LOPD. La Agencia, según Facua, solicita, preferentemente, la aportación de la grabación telefónica y su transcripción, para su posterior verificación mediante llamadas.
Junto a ello, la agencia ha abierto expediente de actuaciones previas, advirtiendo a Radio Taxi Córdoba que, en caso contrario, se procederá a acordar la apertura de un procedimiento sancionador.
Ante todo ello, Facua Córdoba ha dicho lamentar que, "después de casi dos años y tras la sanción de 103.488 euros impuesta por las listas negras a la Asociación Provincial de Trabajadores Autónomos de Auto-Taxi de Córdoba", todavía "no se hayan adoptado las medidas necesarias para garantizar los derechos de los usuarios cuando se solicita telefónicamente un taxi". Por eso, la organización de consumidores ha criticado "que los taxistas puedan ser nuevamente sancionados por una administración al mantener una actitud indiferente".
Fuente: Europa Press
Fecha: 18/06/2012
La LOPD, la gran desconocida
¿QUE ES REALMENTE LA LOPD?
La LOPD (Ley Orgánica de Protección de Datos) es una ley de obligado cumplimiento para TODAS LAS EMPRESAS ESPAÑOLAS, cuyo objetivo es salvaguardar la seguridad de los datos de carácter personal que están en posesión de las empresas.
La LOPD es un derecho para las personas y una OBLIGACIÓN PARA LAS EMPRESAS.
¿QUÉ OCURRE SI RECIBO UNA INSPECCIÓN DE LA AGENCIA DE PROTECCIÓN DE DATOS Y NO CUMPLO CON LA LOPD?
Ocurre que su empresa será sancionada DE MANERA INMEDIATA con una multa de entre 600 € a 600.000 €, ya que la Agencia de Protección de Datos no da plazos de cumplimiento y directamente sanciona si una empresa no cumple con la ley.
¿COMO PUEDO HACER PARA QUE MI EMPRESA CUMPLA CON LA LOPD?
Contratar los servicios de un profesional especialista IMPLANTADOR DE LA LOPD es lo recomendado para no cometer errores y ser sancionado. Siga las pautas que le indique EL IMPLANTADOR LOPD, el cual se encargará de generar toda la documentación de seguridad, así como de inscribir sus ficheros en la Agencia de Protección de Datos.
¿QUE VENTAJAS OBTENGO POR CUMPLIR CON LA LOPD?
Además de ser una obligación, el hecho de cumplir con la LOPD significa que tenemos una empresa seria y que se preocupa por las personas.
A parte, existen numerosas ventajas entre las que cabe destacar:
1.- Mejora de la IMAGEN CORPORATIVA ante los mercados nacionales e internacionales.
2.- Mejora de la empresa con respecto a su competencia.
3.- Mejora en la organización interna de la empresa gracias a la documentación elaborada durante el proceso de implantación de la LOPD.
4.- Mayor confianza de los trabajadores.
5.- Tranquilidad de tener todo en regla para NO SER SANCIONADO.
Fuente: Veintepies
Fecha: 21/06/2012
Un tercio de los hospitales españoles no está capacitado para salvaguardar la información de sus pacientes
Un 77,5% de los hospitales españoles no realizó la auditoría de seguridad en 2010 y más de un 22% de los centros no cuenta con dispositivos de almacenamiento de historias clínicas dotados de mecanismos que obstaculicen su apertura .
Cada vez que un español acude a su médico de cabecera, a urgencias, a un especialista de un hospital y, en general, a cualquier profesional de la salud, se le abre una historia clínica. Es un documento válido desde el punto vista clínico y legal donde se recoge la información necesaria (asistencial, preventiva y social) para la correcta atención de los pacientes.
Según un informe de cumplimiento de la Ley Orgánica de Protección de datos en Hospitales, llevado a cabo por la Agencia Española de Protección de Datos entre 654 centros hospitalarios (públicos y privados, de los 791 existentes en el país) que se encuentran en el ámbito de competencia de AEPD, "la realización de la auditoría bienal de seguridad del fichero de Historias Clínicas es uno de los aspectos en los que se observa un menor nivel de cumplimiento de la normativa de protección de datos, ya que en un 32,5% de centros esta actuación no se lleva a cabo, y en un 85,6% de los centros que realizan la auditoría, se han detectado en ella deficiencias de seguridad".
Debe recordarse que los tratamientos de datos de carácter personal que se realizan en el ámbito hospitalario y, en particular, los relacionados con la gestión de las historias clínicas o la investigación clínica, incluyen datos de salud, considerados datos sensibles o especialmente protegidos por la Ley (al mismo nivel que el origen racial y la vida sexual) y, como tales, tienen un régimen de garantías más fuerte.
Mayor nivel de garantías
Según aclara Antoni Bosch, presidente del Institute of Audit & IT-Governance (IAITG), una iniciativa que contempla la realidad de las tecnologías de la información y su buen gobierno, "este mayor nivel de garantías en el ámbito sanitario se concreta en la exigencia de un consentimiento reforzado, la cualificación de las infracciones como muy graves y la aplicación de las medidas de seguridad de nivel alto".
No obstante, según las conclusiones del informe elaborado por la AEPD, sólo un 22,5% de los hospitales consultados ha realizado la última auditoría en 2010; un 30,8% en 2009; un 10% en 2008, y un 7,4% en 2006 o años anteriores. Un 29,3% de los centros no aporta información sobre la fecha de la última auditoría de seguridad realizada.
Tal y como explica Ramona Stepan, del departamento jurídico de Alcatraz Solutions,"los principios de respeto a la intimidad y a la confidencialidad de la información clínica de los pacientes están presentes en la legislación sanitaria y, además, en lo concerniente a la conservación de la documentación clínica, la Ley 41/2002 hace en su artículo 17 una referencia explícita a la Ley Orgánica de Protección de Datos (LOPD) y a su normativa de desarrollo, al establecer que “son de aplicación las medidas técnicas de seguridad establecidas por la legislación reguladora de la conservación de los ficheros que contiene datos de carácter personal y, en general, por La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal”.
Dificultades para salvaguardar la información
En 2009 se registraron un total de 123 denuncias y actuaciones previas de investigación en el sector de la Sanidad en relación a la protección de datos. Dada la trascendencia y la importancia del derecho fundamental a la protección de datos en este sector, en el mes de marzo de 2010 la Agencia Española de Protección de Datos tomó la iniciativa de elaborar el Informe de cumplimiento de la LOPD en Hospitales y remitirlo a cada uno de los centros públicos y privados que componen el Catálogo Nacional de Hospitales, al objeto de conocer el nivel de cumplimiento de la LOPD y de su normativa de desarrollo en centros hospitalarios, para adoptar las medidas que resultasen pertinentes.
En el 88,7% de los centros hospitalarios las medidas previstas en el documento de seguridad son las correspondientes al nivel alto, que son las aplicables para los datos relativos a la salud de las personas, y el resultado fue desesperanzador e inquietante: un tercio de los hospitales españoles no está capacitado para salvaguardar la información de sus pacientes. Un porcentaje que trasladado al total de historias clínicas posibles nos daría una cifra aproximada de 15 millones de expedientes sanitarios con lagunas de seguridad.
Según los datos que aporta este informe, "la implantación de algunas de las medidas de seguridad exigidas en el RLOPD para los datos de nivel alto es inferior al porcentaje que declara haberlas previsto en el documento de seguridad. Así, el porcentaje de hospitales que dispone de un registro de accesos a toda la información es del 74,6%, mientras que el nivel de hospitales en los que se guarda la información exigida por el RLOPD de cada acceso realizado a los datos (identificación del usuario, fecha y hora del acceso, fichero accedidos, tipo de acceso e indicación de acceso autorizado o denegado) es ligeramente inferior, alcanzando el 70,5%. Es reseñable igualmente el hecho de que un 31% de los centros no almacena el registro de acceso durante el periodo mínimo preceptivo de dos años."
En cuanto a los ficheros manuales (no informatizados) un 22,1% de los centros no cuenta con dispositivos de almacenamiento de historias clínicas dotados de mecanismos que obstaculicen su apertura (por ejemplo, archivadores con cerradura).
La implantación de la Historia Clínica Electrónica alcanza al 55% de los hospitales requeridos, siendo mayor en los centros públicos que en los privados (67% frente a 44%).
Mantener el secreto de la información
Todo el personal que trata con los datos de carácter personal de los pacientes (ficheros de cualquier tipo) o que mantiene relación laboral con ellos, y por tanto, tiene acceso a información confidencial está obligado a mantener el secreto de la información conocida. No sólo está obligado por el Código Deontológico de su profesión (en el caso de médicos y enfermeras), sino también por la legislación en materia de protección de datos y por la legislación penal.
El secreto profesional alcanza a facultativos, psicólogos, enfermería, fisioterapeutas, terapeutas ocupacionales, auxiliares de enfermería, podólogos, celadores y personal administrativo, así como al personal auxiliar del hospital. El mantenimiento de la confidencialidad y privacidad de los pacientes implica principalmente a la historia clínica, que debe ser custodiada de forma cuidada, permaneciendo accesible únicamente al personal autorizado.
Preceptos de privacidad que deben ser preservados en todos los campos de la vida hospitalaria: la privacidad en el momento de la realización de exploraciones físicas, cuando se informa a los familiares, en las conversaciones entre sanitarios en los pasillos, manteniendo la reserva adecuada de los datos de los pacientes en los controles de enfermería de las plantas de hospitalización (tablones, pizarras, etc.), las conversaciones telefónicas, los interfonos abiertos y un largo etcétera.
Fuente: Techweek
Fecha: 22/06/2012
La Agencia de Protección de Datos de Madrid aumenta un 50% el volumen interanual de procedimientos abiertos
La Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) ha aumentando en un 50% el volumen interanual de procedimientos abiertos, en relación a 2010, con 279 expedientes tramitados en 2011, ha informado este organismo en un comunicado.
El director de la Agencia de Protección de Datos de la Comunidad de Madrid, Santiago Abascal, ha explicado este aumento por "el mayor grado de concienciación de su derecho a la protección de datos de carácter personal por parte de los ciudadanos".
Otros de los datos significativos que se extraen de la Memoria 2011 de la APDCM son el aumento del número de ficheros gestionados que ha alcanzado los 14.117 (+1,08%).
De los 279 expedientes tramitados en 2011, 144 corresponden a la labor inspectora, entre los que se incluyen 42 expedientes fruto del Plan de Inspección 2011-2012 sobre el tratamiento de datos personales a través de las páginas webs de los Institutos de Educación Secundaria, y 135 expedientes son relativos al procedimiento de tutela de derechos.
El número total de expedientes tramitados por la APDCM desde su creación alcanza ya los 1.748. Relacionado con la tramitación de expedientes, en 2011 ha sido significativo el volumen de consultas ciudadanas atendidas por el ente.
El objetivo prioritario es proporcionar a las personas información y orientación acerca de los derechos reconocidos en la normativa vigente en materia de protección de datos de carácter personal. En el año 2011, el número total de consultas atendidas en esta Unidad fue de 1.925. La Agencia también tiene una labor de sensibilización y pedagogía de la Protección de Datos entre los ciudadanos.
En este sentido, Abascal ha explicado que "hemos notado un incremento notable de la consultas". "Entre todas las consultas, podemos destacar la importancia de las recibidas en materia de videovigilancia y publicación de datos personales en Boletines Oficiales e Internet, y otras más generales como por ejemplo el cumplimiento del artículo 5 de la LOPD o el procedimiento de creación de ficheros", ha dicho.
535 INFORMES JURÍDICOS
Otro de los capítulos numéricamente significativos son los informes jurídicos sobre disposiciones y consultas emitidos por la APDCM que, en 2011, alcanza a los 535 informes.
Dentro de este capítulo destacan los informes preceptivos sobre la creación, modificación y supresión de ficheros (138), sobre la adaptación de contratos y convenios al artículo de la LOPD (206), los informes preceptivos a la aprobación de normas (135) y los que dan respuesta a las consultas planteadas por los responsables de ficheros (56).
Asimismo, también han aumentado los ficheros declarados por la Comunidad de Madrid llegando a los 14.117 ficheros registrados. En 2012 la Agencia cree que la tendencia será hacia la estabilización, dado que el nivel de inscripción en la Comunidad de Madrid es muy alto y lo que se produce ya habitualmente son procesos de adecuación.
Una de las funciones principales de la Agencia es la de asesorar y ofrecer formación a las Administraciones Públicas de la Comunidad de Madrid para que se haga un buen uso de los datos que poseen. En este sentido, en el año 2011, la APDCM ha organizado diversos foros y jornadas sobre sanidad, servicios sociales y prevención de riesgos laborales.
Asimimo, organizó un curso para dar a conocer y formar en el uso de la herramienta CUMPLE que permite al responsable adecuar sus tratamientos a la LOPD.
También cabe destacar la participación en foros específicos organizados por la Sociedad Española de Informática de la Salud; el Data Privacy Institute; y la Asociación Profesional Española de Privacidad. De esta forma, se da cumplimiento a los convenios firmados en años anteriores por la Agencia y las citadas organizaciones.
Una importante aportación para la Agencia ha sido el poder participar en el proyecto SURPRISE de la Comisión Europea, cuyo objetivo es analizar la seguridad, vigilancia y protección de datos, haciendo énfasis en las políticas públicas adoptadas al respecto, así como la normativa y el grado de aceptación de la misma por parte de los ciudadanos.
Por último, entre las actividades realizadas por la Agencia en el 2011, tuvo importancia el Plan de Comunicación en Protección de Datos Personales para Escolares, por el que se visitó a los 404 Institutos de Educación Secundaria de la Comunidad de Madrid, para sensibilizar de la importancia de la protección de los datos de los menores.
Este año, además se ha incorporado el juego "Olvidados" que ha sido difundido a través de la red social Tuenti y que ha contado con la participación de más de 3.000 alumnos de entre 12 y 16 años.
En este sentido Santiago Abascal ha afirmado que "la Agencia tiene entres sus objetivos principales el asesoramiento, la consultoría, la formación y la sensibilización en relación al tratamiento de los Datos Personales en las Administraciones Públicas, con el fin de que éstas hagan un buen uso de los datos que gestionan".
Fuente: Europa Press
Fecha: 28/06/2012
Benavente: El Ayuntamiento crea 21 ficheros con datos de carácter personal
El Pleno del Ayuntamiento de Benavente dará luz verde este jueves a la supresión y creación de un total de 21 ficheros informáticos con datos de carácter personal. La Comisión de Régimen Interior dictaminó el pasado jueves por unanimidad una medida que busca dar respuesta a la reclamación de la Agencia Española de Protección de Datos, que ha abierto un expediente sancionador al Ayuntamiento de Benavente tras apreciar una infracción grave por la existencia del padrón de agua, basura, alcantarillado y depuración; licencias urbanísticas y ambientales; y expedientes recaudatorios de apremio; sin inscribir en el Registro General de Protección de Datos.
Fuente: La Opinión de Zamora
Fecha: 26/06/2012
Protección de datos archiva la denuncia por el ataque a PlayStation Network
La Agencia de Protección de Datos ha archivado la denuncia de Facua contra Sony por el 'hackeo' del servicio online de las consolas PlayStation. El organismo no ha podido acreditar que se pueda aplicar la Ley Orgánica de Protección de Datos (LOPD) española a los incidentes sufridos por la compañía y su repercusión para los usuarios.
A finales de abril de 2011, la compañía Sony comunicó que cerraba su red de juegos 'online' a nivel mundial por "problemas de mantenimiento". Sin embargo, posteriormente reconoció que la suspensión global se debía a la infiltración de un grupo 'hacker' que podría haber comprometido la seguridad de los datos de millones de personas: contraseñas, historial de compras, direcciones de facturación e incluso datos de tarjetas de crédito.
Por estos motivos, en España Facua-Consumidores en Acción denunció en la Agencia de Protección de Datos (AEPD) a Sony, afirmando que la empresa era responsable del "agujero de seguridad en su red de juegos online PlayStation Network por el que un cracker había accedido a datos confidenciales".
La filial española de Sony alegó durante las actuaciones inspectoras de la AEPD que el incidente se produjo en las instalaciones de San Diego, y que Sony España no tendía ninguna responsabilidad, pues "no tuvo acceso ni trató los datos de los usuarios del servicio, ya que su ámbito de negocio está limitado a la venta de consolas de la marca Sony y videojuegos desarrollados por empresas contratadas por Sony".
Además, aunque 334.453 usuarios habían proporcionado datos de tarjetas de crédito a Sony, la compañía afirmó que estos datos estaban específicamente protegidos, así como las claves de acceso de los usuarios, que se almacenaban cifradas por medio de un algoritmo.
NO ESTÁ ACREDITADO QUE SE PUEDA APLICAR LA LOPD
Aceptando las explicaciones de la empresa, desde la AEPD, han decidido archivar el caso, en una resolución de abril hecha pública en julio, al no esta acreditado que se pueda aplicar la LOPD Española a los incidentes sufridos por compañía Sony.
Según el despacho de abogados datos especializados en protección de datos www.salirdeinternet.com "de ser aplicable la LOPD, la sanción que se podría haber puesto a SONY, alcanzaría los 300.000 € ".
En este sentido, según estos expertos, la AEPD "no lo ha tenido nada fácil: ni el ICO (Autoridad británica de protección de datos equivalente a la AEPD), ni Sony Computer Entertainment Europe, han respondido a las peticiones de información durante las actuaciones de investigación".
Por otro lado, Sony España explicó a Protección de Datos que tomó las siguientes medidas para minimizar el problema: acelerar el traspaso delos datos, que estaba planificado con anterioridad, a un nuevo centro de proceso con mayores medidas de seguridad; implantación de software automatizado de gestión de control y configuración; mejora en los niveles de protección y cifrado de datos; mejoras en la detección de intrusiones, acessos no autorizados y patrones de actividad anormales; adición de nuevos muros electrónicos; y la creación de la figura de Jefe de Seguridad de la Información, dependiente directamente del Jefe de Seguridad de la Corporación Sony, entre otras.
Enlaces relacionados:
- Resolución de la Agencia de Protección de Datos (http://www.agpd.es/portalwebAGPD/resoluciones/archivo_actuaciones/archivo_actuaciones_2012/common/pdfs/E-01583-2011_Resolucion-de-fecha-19-04-2012_Art-ii-culo-9-LOPD.pdf).
- Un miembro de LulzSec se declara culpable del ataque a PlayStation Network (http://www.europapress.es/portaltic/internet/noticia-miembro-lulzsec-declara-responsable-ataque-contra-playstation-network-20120406121148.html).
Fuente: Portaltic
Fecha: 11/07/2012
La audiencia nacional llama la atención a protección de datos por no reclamar información a google ante una denuncia
La Audiencia Nacional ha llamado la atención sobre la decisión de la Agencia Española de Protección de Datos (AEPD) de no reclamar información a Google, a raiz de una denuncia que se presentó ante ese organismo por parte de una persona que ponía de relieve que desde el buscador se podía acceder a sus datos personales.
Según informa el portal www.salirdeinternet.com, en la AEPD acusó a la Xunta de Galicia de haber incumplido la Ley Orgánica de Protección de Datos (LOPD) por posibilitar que, al utilizar el buscador Google, se pudiese acceder a una lista de 659 ayudas a personas con discapacidad publicadas originariamente en la web www.xunta.es.
La Xunta mostró su disconformidad y alegó que la responsabilidad de que los datos se captasen por el buscador no era de la Administración gallega, puesto que en la web de la Xunta no era posible acceder a la lista, salvo que se utilizase como clave el DNI y el año de consulta.
La Xunta, que pretendía probar que no tenía ninguna responsabilidad en la captación de datos por el buscador, solicitó a la AEPD que pidiese un informe a Google que aclarase las razones de la indexación de los datos “blindados”.
Sin embargo, salirdeinternet.com asegura que la AEPD se negó a pedir el informe, y con fecha 20 de abril de 2009 la Agencia declaró que la Xunta había infringido el deber de secreto de la LOPD, de forma muy grave.
La misma fuente indica que en una sentencia del pasado mes de junio la Audiencia Nacional indica que "no alcanza a comprender por qué la AEPD se ha dirigido directamente (y únicamente) frente a la Xunta de Galicia y no frente al motor de búsqueda, teniendo en cuenta que los datos personales revelados y/o descubiertos solo eran visibles accediendo a través del buscador, pero no accediendo (directamente) a través de la pagina web de la Xunta".
Según el portal salirdeinternet.com "debiera de haberse investigado la razón técnica por la cual unos datos (que presumiblemente estaban blindados) aparecían en Google. Si se investigase podría aclararse si la Xunta era responsable (o Google), incluso por tratamiento de datos sin consentimiento".
Fuente: lainformacion.com
Fecha: 15/07/2012
Suscribirse a:
Entradas (Atom)
Entradas
