jueves, 7 de noviembre de 2013
Las empresas con cámaras de videovigilancia se duplican en los tres últimos años
La tecnología está cada vez más al servicio de la seguridad. Y cada vez más empresas apuestan por ello con la instalación de sistemas de videovigilancia, una práctica que se disparó a finales de la pasada década y que ha visto cómo, en los tres últimos años, se han duplicado las administraciones públicas y las entidades privadas que apuestan por las cámaras de seguridad para protegerse.
Los datos facilitados a El Día de Valladolid por la Agencia Española de Protección de Datos (AEPD) así lo corroboran. A comienzos del año 2009 había 177 instituciones y empresas con videovigilancia, en 2010 se llegó a las 1.064, para irse hasta las 1.351 en 2011, a las 1.740 en 2012 y alcanzar las 2.235 a día 1 de noviembre de 2013. De estas, 2.170 son entidades de titularidad privada y 65, pública.
El incremento experimentado en estos tres últimos años es una constante en todo el país, donde el número de entidades (privadas y públicas) con videovigilancia ha subido casi un 65%. En Valladolid se cifra en un 110% en términos absolutos, pero destaca cómo han crecido las administraciones con este tipo de sistemas (un 140%), mucho más que las empresas (un 63 por ciento).
El objetivo de unos y otros no es otro que «tratar de garantizar su propia seguridad», tal y como explican desde la AEPD, que se encarga de autorizar la instalación de estos sistemas de vigilancia y que vela porque, con ellos, no se invada la intimidad de nadie.
Por sectores. Uno de cada cuatro negocios con cámaras de seguridad es un comercio que busca evitar robos en sus tiendas. Otro diez por ciento son bares y restaurantes. Yluego aparecen ya las comunidades de vecinos, un sector que, cada vez más, confía en la videovigilancia para tratar de velar por la seguridad de zonas comunes, portales y garajes.
Pero estos sistemas entran, en muchas ocasiones, en colisión con la libertad de las personas. De ahí, que no paren de aumentar, tampoco, las denuncias ante la AEPD. En Valladolid, solo durante el último año, han subido en un 52%. «La razón no es otra que los ciudadanos saben cada vez más cuáles son sus derechos y cómo defenderlos», según explican desde la Agencia de Protección de Datos. Por su parte, las sanciones se han duplicado, de cinco a diez, eso sí; en ocasiones, se impone el pago de multas y, en otras, todo se queda en un simple apercibimiento.
Fuente: El dia de Valladolid
Fecha: 07/11/2013
La Policía publica una lista de los intentos de engaño más peligrosos de Internet durante 2012
En el día de los Santos Inocentes, los especialistas de la Policía Nacional en seguridad tecnológica han realizado una lista con los cinco intentos de engaño en Internet más repetidos y peligrosos que se han encontrado en la red a lo largo de 2012, y a ella se han añadido los consejos para evitar caer en estas trampas.
Esta lista, ha sido elaborada por agentes de la Brigada de Investigación Tecnológica (BIT) en base a las miles de denuncias consultadas de los internautas a través de los canales telemáticos de la Policía.
El top de los 5 timos más peligrosos en Internet durante 2012
En el número uno de este ranking, se encuentran aquellos fraudes que se realizan en Webs de compraventa o alquiler entre particulares. Se trata de anuncios en los que se ofertan supuestas gangas en los productos más demandados: gadgets tecnológicos y smartphones, coches de segunda mano, alquileres en fantásticas viviendas o apartamentos vacacionales muy atractivos.
En el segundo lugar, podemos encontrar aquellas ofertas de trabajo falsas que intentan sacar dinero a los que buscan trabajo, una estrategia que se utiliza aprovechando la fuerte oleada de demanda de empleo.
La estrategia de engaño consistía en pedir dinero para pagar el temario o cursos previos al supuesto trabajo o para cerrar la contratación. Además se hacía llamar a teléfonos de alto coste o dirigen las llamadas a este tipo de números y alargan las conversaciones hasta el máximo posible.
El tercero de los engaños, consistía en una serie de virus informáticos que se hacían pasar por la Policía Nacional, La Sociedad General de Autores de España (SGAE) p la Agencia Española de Protección de Datos (AEPD).
Se trataba de un virus dañino que bloqueaba el ordenador, inventándose una multa de 100 euros por haber detectado pornografía infantil en el disco duro o archivos que violan la propiedad intelectual o la Ley de Protección de Datos.
En el cuarto lugar se destaca el Phishing sobre cuentas en redes sociales y de correo electrónico, una técnica que consiste en obtener las claves de usuario para obtener beneficios fraudulentos con datos bancarios. En este ámbito, el engaño más novedoso ha sido el envío de SMS para solicitar los datos de la tarjeta de crédito, para desbloquearla por "supuestos motivos de seguridad".
Una técnica mediante la cual también se ha intentado robar cuentas de redes sociales y correos, para luego utilizarlas para Spam comercial en nombre de una fuente de confianza y para la distribución de malware.
En el quinto, y último lugar, se ha destacado el fraude para suscribir o promover el envío de SMS Prémium y llamadas a teléfonos de alta tarificación.
Los ganchos que participaban son desde paquetes que no se han recogido hasta supuestas llamadas de personas que no tienen saldo y requieren contactar con ellos a través de esos medios. También hay falsos premios en concursos en los que no se ha participado o mensajes ambiguos de personas recién separadas que quieren tomar un café.
Los agentes ofrecen una serie de consejos para no caer en los engaños
Los consejos que los agentes recomiendan para evitar estos engaños son, actuar con "desconfianza racional" ante ofertas de fuente desconocida, a un precio excesivamente barato o demasiado ventajoso respecto a la media del mercado.
Tampoco hay que dar por supuesto que tu interlocutor es quien dice ser, aunque reconozcamos la cuenta del emisor, ya que puede haber sido "secuestrada" a través de phishing o malware.
Si te realizan una llamada pérdida desde un teléfono de alta tarificación (como un 905) o de un teléfono normal, pero derivándote a un 80, no hay que devolverla. Y además, hay que desconfiar de los mensajes desde un móvil corto que intenta que le envíes un SMS.
Por otro lado, las ofertas de trabajo que requieren un desembolso económico previo no son casi nunca reales y encierran un engaño o afán de recaudar a costa de los que buscan empleo.
Recibir un SMS o un correo pidiendo que actualices datos bancaros, también es motivo de desconfianza, por ello los agentes recomiendan no actualizar los datos bancarios ni contestar ni rellenar formularios.
Si en Internet encuentras alguna oferta atractiva, hay que indagar. Interesarse por la opinión de otros compradores en cualquier buscador, introduciendo datos por si otros usuarios nos pudieran avisar sobre algo raro en dicha oferta.
Si se ha comprado algo, a otro particular, que es de gran valor económico, hay que exigir que el envío sea certificado y que se declare el valor real del paquete.
Tampoco hay que olvidar mantener actualizado el antivirus, utilizar programas originales y actualizar el sistema operativo.
Los agentes tambien destacan la necesidad de utilizar medios de pago rastreables y desconfiar de aquellos en los que se pide un pago a través de medios que dificultan la identificación o en aquellas condiciones en als que se pierde el control del dinero, así como consultar con periodicidad las cuentas bancarias.
Fuente: Teinteresa
Fecha: 28/12/2012
Denuncia a sus vecinos por colgar en un tablón sus deudas con la comunidad
Un gijonés acaba de ganar ante la Agencia Española de Protección de Datos la larga batalla administrativa que mantenía desde el mes de mayo contra sus vecinos de bloque. Todo comenzó el día 10 del citado mes. Fue entonces cuando el demandante se dirigió a la Agencia para protestar contra los responsables de su comunidad después de que éstos colgaran en el tablón de anuncios del portal un papel en el que se citaba al gijonés con su nombre y apellidos y se le conminaba a pagar la deuda de 750 euros que tenía pendiente con la comunidad.
El denunciante puso entonces los hechos en conocimiento de la Agencia Española de Protección de Datos adjuntando a su escrito de protesta una fotografía en la que se podía ver el documento por el que manifestaba su malestar. Los responsables de tramitar el expediente administrativo han solicitado ya a los encargados de la comunidad de propietarios que retiren el anuncio advirtiendo de que, de lo contrario, se pueden enfrentar a multas que oscilan entre los 40.000 y los 300.000 euros por vulnerar la ley de protección de datos que actualmente se encuentra vigente en España.
La Agencia mantiene que cualquier persona que sea responsable de un fichero -en este caso el de cuentas de la comunidad- está obligada al «secreto profesional respecto del mismo» evitando «filtraciones interesadas». «Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales como la intimidad o el derecho a la protección de datos», argumentan los responsables del fallo asegurando, además, que en el presente caso «no cabe duda de que por el vestíbulo donde se hallaba el tablón que contenía los datos podían acceder terceras personas ajenas a la relación de copropietarios y con ello se están dando a conocer los datos y la condición de un ciudadano no sólo a quienes interese el tema, sino también a terceros».
Por todo ello y teniendo en cuenta que la nota «no puede permanecer más tiempo en el portal», la Agencia de Protección de Datos ha decidido apercibir a la comunidad de propietarios gijonesa para que retiren de inmediato el aviso colocado en el tablón de anuncios comunal. En caso contrario, se advierte en el fallo administrativo, «se podrá acordar la apertura de un procedimiento sancionador» con las multas ya citadas.
La institución recuerda además al denunciante su capacidad ahora, una vez concluida la vía administrativa, para poner los hechos en conocimiento de una autoridad judicial si lo considerara oportuno reclamando, por ejemplo, los daños morales que haya podido sufrir por la filtración de sus datos personales y de la deuda que mantenía con sus vecinos.
Fuente: La Nueva España
Fecha: 03/12/2012
El PSOE paga 1.500 euros por enviar un correo a una persona sin su permiso
La agrupación municipal del PSOE de Granada ha pagado 1.500 euros de multa a la Agencia Española de Protección de Datos por enviar un correo electrónico invitando a un evento a un ciudadano que nunca les dio sus datos ni su consentimiento para recibir información. Algo que constituye una violación de la Ley Orgánica de Protección de Datos, aunque se ha considerado infracción leve.
Los hechos se remontan a abril de 2011, cuando la AEPD recibió una denuncia de un ciudadano que decía haber recibido un correo electrónico de la agrupación municial del PSOE, invitándolo a la celebración del IV Foro Ciudadano del PSOE de Granada. Y eso que, en ningún momento, había dado su consentimiento para el manejo de sus datos personales.
La resolución de la AEPD se basa en una sentencia de la Audiencia Nacional del 15 de Enero de 2011 donde se apunta que la dirección de correo electrónico de la que es titular una persona física "constituye una información que le concierne, que le afecta, y que forma parte del ámbito de su privacidad protegido por la Ley de Protección de Datos, siéndole plenamente aplicable su régimen jurídico".
Con esta información y dado que el PSOE de Granada no pudo aportar prueba documental que acreditara el consentimiento del denunciante del uso de su correo electrónico, la AEPD decidió imponer una sanción a principios de este mes de noviembre que el Partido Socialista nazarí ha pagado finalmente hace unos días, como adelantaba el periódico local 'Ideal'. La multa, de 1500 euros, es baja, ya que la misma AEPD prevé castigos de hasta 40.000 euros si considera grave la infracción.
Durante el proceso, el PSOE alegó que la relación entre el partido y el afectado era "la propia entre un partido político y un ciudadano en democracia", y que el correo electrónico "no puede considerarse un dato personal". Igualmente, argumentó que el ciudadano tenía una presencia muy activa en internet y que, por tanto, su dirección de e-mail estaba al alcance de cualquiera.
Sin embargo, diversos informes de la Agencia de Protección de Datos sostienen que la dirección de correo electrónico de una persona "puede ser considerado dato personal", y la citada ley orgánica señala que el tratamiento de los datos de carácter personal "requerirá el consentimiento inequívoco del afectado".
Fuente: El Mundo
Fecha: 29/11/2012
CSIF denuncia a la alcaldesa de La Línea ante Protección de Datos
La sección sindical de CSIF en el Ayuntamiento de La Línea ha denunciado formalmente a la alcaldesa de La Línea, Gema Araujo, ante la Agencia Española de Protección de Datos por el incidente en el que se envió a los correos privados de los trabajadores municipales una circular particular de la alcaldesa, dejando al descubierto todos los correos privados de dichos trabajadores. Para CSIF, lo acontecido es una vulneración del principio de seguridad de datos (Art 9 LOPD 15/ 1999) y la vulneración del deber de secreto (Art 10 LOPD 15/1999).
En el que viene siendo su normal proceder a golpe de impulsos y fruto de arrebatos, la alcaldesa se ha acostumbrado a sus decisiones que vulneran las legalidades, haciendo de la mentira su bandera y teniendo que soportar los trabajadores día a día su desgobierno. Con sus continuos arrebatos no hace más que acusar sin pruebas, acosar sin medida y acusar falsamente de misteriosas conspiraciones desde la organización sindical de CSIF.
Desde este sindicato se le ha instado a notificar qué miembros del comité de este sindicato cobra o ha cobrado pluses desde la entrada de la alcaldesa, puesto que de no ser así, está lanzando acusaciones falsas con la nada sana intención de malmeter entre los trabajadores y los miembros de este sindicato.
No todos podemos permanecer de brazos cruzados con ocho y nueve nominas pendientes, después de que se cargase un convenio de más de 30 años bajo la promesa de negociar algunos puntos del convenio. Otra mentira más de este gobierno. A fecha de hoy no ha existido negociación alguna ni intención de haberlas por parte de esta alcaldesa, que solo demuestra una incongruencia inaudita en sus actuaciones: atacar al trabajador hasta la saciedad y despilfarrar el dinero existente.
Fuente:Andaluciainformacion
Fecha: 20/11/2012
Sancionan con 5.000 euros al SUP y a la UFP por revelar datos personales
La Agencia Española de Protección de Datos (AGPD) sancionó con 5.000 euros en total a dos organizaciones sindicales del Cuerpo Nacional de Policía por divulgar, a través de sus respectivas páginas de internet, una sentencia en primera instancia en la que se reveló íntegramente la identidad de un detenido y su abogada por un incidente ocurrido en la Comisaría Provincial de Santa Cruz de Tenerife, en la avenida Tres de Mayo.
Según las resoluciones, a las que tuvo acceso EL DÍA, la Unión Federal de Policía (UFP) fue sancionada con 3.000 euros, mientras que el Sindicato Unificado de Policía (SUP) recibió una multa de 2.000 euros.
Los hechos ocurrieron en la segunda planta del citado edificio policial en julio del año 2010. Varios funcionarios del Grupo de Delitos Tecnológicos de la Brigada Provincial de Policía Judicial de la Comisaría de Tres de Mayo denunciaron entonces a una abogada por una supuesta falta de consideración y respeto a agentes de la autoridad, cuando la misma se encontraba defendiendo a un cliente suyo. Tras ser condenada en primera instancia por estos hechos, la letrada fue absuelta en virtud de otra sentencia de la Sección Segunda de la Audiencia Provincial.
La Agencia afirma que la sentencia de primera instancia, sin ser firme, se difundió con la identidad de las dos personas y fue publicada en las páginas de internet del Sindicato Unificado de Policía y, además, se remitió por correo electrónico a los representantes de las plantillas policiales de la provincia de Santa Cruz de Tenerife, así como a la Comisión Ejecutiva Nacional con sede en Madrid.
La letrada requirió desde que tuvo conocimiento de estos hechos y de forma inmediata por burofax al SUP para que retirara el texto de su página de internet. Los responsables de este sindicato policial manifestaron ante la Agencia que, desde el mismo día en que recibieron la carta de la abogada, retiraron la sentencia de su web.
En la información aportada por el SUP a la Agencia de Protección de Datos se afirma que "el motivo por el que se decidió publicar la sentencia, suprimiendo los datos personales, fue considerar que se trataba de una pena leve, que no incidía en el derecho al honor y la intimidad de la denunciante; así como por el hecho de que se trataba de una sentencia pública que, según lo dispuesto en el artículo 120 de la Constitución, las actuaciones judiciales son públicas, así como en el 266 de la Ley Orgánica del Poder Judicial, en el sentido de que se permitirá a cualquier interesado el acceso a las sentencias judiciales". En el caso de la UFP, el 5 de mayo de 2011, la abogada afectada remitió otro escrito a la organización para que retiraran la resolución judicial de la página web en la que se difundían sus datos personales y los de su cliente. Un día después, desde la Unión Federal de Policía se informó a la letrada de que tanto la sentencia como sus datos personales habían sido retirados.
Sin embargo, el 7 de marzo de 2012, los servicios de Inspección de la Agencia de Protección de Datos efectuaron una consulta en la página de dicho sindicato (www.ufpol.es) y obtuvieron como resultado que en la misma aparecía publicada la sentencia reseñada, así como los datos de los denunciantes.
La Unión Federal de Policía consideró también que se trataba de una sentencia pública.
A la página de internet del SUP también le hicieron seguimiento los mencionados servicios de inspección, aunque no hallaron resultados positivos en sus búsquedas sobre la sentencia o los datos personales de la abogada y el hombre detenido en julio de 2010, salvo los denunciados inicialmente y los reconocidos por el propio sindicato. Tanto a la UFP como al SUP se les imputa una vulneración grave del artículo 6 de la Ley Orgánica de Protección de Datos "por la recogida de datos personales de los denunciantes contenidos en la sentencia de 10 de marzo de 2011 y por someter dicho documento a un tratamiento automatizado, convirtiéndolo en un archivo informático que fue insertardo sin anonimizar en la página web de la entidad, accesible a terceros".
Consentimiento
Según se recoge en la resolución comunicada a las partes, el tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una ley que ampara ese tratamiento.
De la misma forma, dicha resolución determina que ambas asociaciones sindicales vulneraron la Ley de Protección de Datos al publicar los datos personales (nombres, apellidos y documento nacional de identidad de los afectados) y especifica que debe salvaguardarse siempre el derecho a la privacidad e intimidad personal y familiar, honor y el derecho a la propia imagen de las personas.
Fuente: El Dia
Fecha: 18/11/2012
La seguridad de los datos enviados a través de redes Wi-Fi y dispositivos Android, en entredicho
Investigadores del Grupo de Computación Distribuida y Seguridad de la Universidad Leibniz en Hannover y del Departamento de Matemáticas e Informática de la Universidad Philipps de Marburgo han publicado un reciente trabajo sobre la seguridad de los dispositivos Android (en pdf) en el que se analiza de qué forma peligra la privacidad de muchos datos -incluyendo contraseñas- bajo ciertas situaciones relativamente comunes.
El principal problema -como suele suceder en cuestiones de seguridad- es que aunque la teoría dice una cosa la forma en que se llevan a cabo muchos proyectos en la práctica resulta muy diferente. En concreto los problemas de seguridad surgen debido a la defectuosa implementación de los protocolos de seguridad en algunas aplicaciones (apps), algo que unido a la confusión sobre las de indicaciones al respecto en el software (por ejemplo el significado de los iconos y mensajes de "navegación segura" en el navegador web) pueden "redondear" el problema.
En el trabajo los investigadores explican que analizaron el comportamiento de unas 13.500 aplicaciones distintas disponibles en Google Play, la tienda de aplicaciones de Google y donde los desarrolladores suben sus apps para distribuir a sus clientes y usuarios. Lo que hicieron fue conectar un móvil con Android 4.0 al Wi-Fi del laboratorio, simulando ser un acceso normal y corriente, como el que se podría encontrar en una cafetería, un hotel o en un vecindario. Pero había algo más: las comunicaciones estaban interceptadas con un software especial.
Ataque del intermediario
En seguridad este tipo de "ataques" se conocen como ataque del intermediario y consiste básicamente en interponerse entre el emisor y el receptor de una comunicación copiando todo lo que se transmite -como si una persona trajera y llevara notas secretas en papel pero guardara una fotocopia de cada envío-. Este sistema les permitió capturar todo el tráfico entre el dispositivo móvil Android y los servidores de Internet y analizarlo en busca de alguna debilidad.
De las 13.500 aplicaciones analizadas cerca del 8 %, -unas mil de ellas- resultaron tener una seguridad débil debido a que no seguían correctamente los protocolos de seguridad, incluyendo que ignoraban completamente los protocolos de seguridad, fallaban en la comprobación de los certificados digitales u otras razones. Tras un examen manual, unas cien de las mil resultaron ser vulnerables y tras lanzar sobre ellas software para desproteger los datos se consiguió romper la seguridad de 41 de ellas.
El problema es que muchas algunas de las aplicaciones examinadas contaban ya con millones de usuarios registrados y cierta popularidad en el mercado. Los investigadores consiguieron credenciales tales como cuentas y contraseñas (de buzones de correo, redes sociales y otros servicios); números de cuentas de bancos e incluso engañar a las aplicaciones para "confiar" en el contenido de ciertos servidores, lo que abriría la puerta potencialmente a la creación de software malicioso que pudiera ser dado por bueno o al envío de instrucciones que manipulen el software ya instalado.
Aplicaciones mal diseñadas
En los navegadores web convencionales existen problemas similares, pero la gente se ha acostumbrado a no confiar en cualquier página web y menos en las que no muestran el "candado" que simboliza los protocolos seguros HTTPS/SSL/TTS. En algunas aplicaciones Android, en cambio, los investigadores apuntan a que no hay información visual que indique a los usuarios que está utilizando una comunicación segura (o que no) del mismo modo que nada impide a una aplicación mostrar información engañosa al respecto. Incluso encontraron aplicaciones –desde las relativamente inocentes hasta las de entidades bancarias– que en las preferencias permitían activar seguridad del tipo SSL, pero en realidad no usaban ese canal seguro por diversas razones.
Todo lo anterior se refiere a las aplicaciones Android que los usuarios pueden descargar, pero los investigadores se preguntaron qué sucedería con los accesos a través del navegador web incorporado, que incluye mensajes respecto a la seguridad y los certificados cuando se llega a este tipo de páginas. Realizaron una encuesta entre varios cientos de personas y comprobaron que más de la mitad de las personas pensaban que estaban en una conexión segura cuando en realidad no lo estaban. Ignorando la forma en que estaban conectados, algunos dieron algunas razones tan peregrinas como que se fiaban de su proveedor telefónico o de la marca de su teléfono. Una falsa sensación de seguridad que puede causar problemas a los usuarios menos expertos.
El escenario de estos experimentos era muy claro: un dispositivo móvil Android y una conexión Wi-Fi. El problema son las aplicaciones mal diseñada, la falta de información y el desconocimiento.
Cómo cuidar los datos
¿Algunos consejos para evitar el robo de los datos personales? Se puede pensar por un lado en utilizar únicamente redes Wi-Fi en las que se pueda confiar, no cualquier Wi-Fi abierta que aparezca de repente por ahí. Respecto a las aplicaciones, no descargar cualquier cosa sino apps con cierta reputación. Y si las aplicaciones sospechosas no tienen indicadores sobre la seguridad de las comunicaciones -o aun teniéndolas- mejor desconfiar.
Al usar el navegador web conviene fijarse en el prefijo de las direcciones (que debería ser HTTPS, terminado en S) y leer cuidadosamente los mensajes de seguridad sobre los certificados de las webs que se visitan.
Como consejo genérico, es mejor intentar usar lo menos posible las cuentas importantes en sitios donde no se tenga una seguridad clara de que no va a haber problemas. Y como consejo general, no usar nunca las mismas contraseñas en servicios distintos: es más incómodo pero infinitamente más seguro. Si se siguen estos pasos es difícil que se produzcan problemas importantes -incluso aunque, como en este caso, estén estos investigadores de "intermediarios" acechando para robar los datos personales.
Fuente: rtve
Fecha: 30/10/2012
La publicación ilegal en un Boletín Oficial libra a una empresa de pagar 730.000 euros
En el año 2001, la Delegación Tributaria de Barcelona reclamó a una empresa 730.000 euros en concepto de impuestos y por una sanción. La empresa, que discrepaba, recurrió el caso e hizo un movimiento que resultó ser su salvación: le comunicó a Hacienda su cambio de domicilio, quedándose también con el anterior pero en alquiler.
En el año 2005, el Tribunal Económico de Cataluña intentó contactar con la empresa para notificarle la sentencia, pero lo intentó en su anterior domicilio. Según el Tribunal, en ese domicilio le indicaron que la empresa no estaba allí y que se desconocía el lugar en el que se encontraba. Al no poder localizar allí a la empresa (y sin intentar más notificaciones), el Tribunal publicó la sentencia en el Boletín Oficial de la Provincia de Barcelona.
Meses más tarde, en marzo de 2006, la empresa advirtió que el Boletín Oficial había publicado su sentencia, y solicitó la revisión de su caso al Tribunal Económico Administrativo Central, que lo desestimó.
Sin embargo, la empresa recurrió ante la Audiencia Nacional. Y allí le dieron la razón. La Audiencia Nacional ha declarado que todo el procedimiento seguido es nulo, pues la sentencia se publicó en el Boletín Oficial sin notificarse correctamente en el domicilio real de la empresa, por lo que la empresa pudo no conocer la sentencia a tiempo, y por ello no recurrió en plazo. Además, afirmó la sentencia de la Audiencia Nacional que la responsabilidad de la empresa ya había prescrito, lo que acaba de confirmar el Tribunal Supremo.
Desde el despacho www.salirdeinternet.com afirman que estos casos son muy habituales y no sólo pueden conllevar la anulación de los procedimientos y de las sanciones. Podrían conllevar importantes infracciones, al publicarse datos personales (en caso de los ciudadanos). Un ejemplo irónico, según Salirdeinternet.com, se produjo en el año 2010, cuando la Audiencia Nacional obligó a la propia Agencia Española de Protección de Datos a anular una sanción por haber publicado la AEPD el expediente de un ciudadano de forma ilegítima en el BOE.
Fuente: Que
Fecha: 26/10/2012
Condenan a Renfe por violar la protección de datos con sus cámaras de vigilancia
El ojo que todo lo ve ha caído en su propia trampa de vigilancia. La operadora ferroviaria Renfe ha sido sancionada por considerarse ilegal su sistema de videovigilancia instalado en diversas estaciones de Sevilla.
Los hechos se remontan a una investigación que inició la Agencia Española de Protección de Datos (AEPD) tras recibir una denuncia de la Guardia Civil en mayo de 2011.
Estas pesquisas se centraron en 50 videocámaras instaladas por la compañía en diversas estaciones de Sevilla, varias de las cuales se ha constatado que realizaron varias grabaciones ilícitas.
Las estaciones inspeccionadas son las de Olivares-Villanueva, San Lucar la Mayor y Benacazón, en las que existían diversas cámaras grabando espacios públicos ajenos a Renfe, como sus parkings, produciéndose, según la mencionada Agencia, una captación de imágenes y registros desproporcionada.
En concreto, la AEPD constata que, "las cámaras exteriores situadas en las zonas de parking, dado que disponen de zoom y movimiento, pueden recoger imágenes de espacios públicos con acceso indiferenciado a personas y vehículos, permitiendo identificar matrículas de vehículos, personas que se bajen de dichos vehículos y personas que accedan a pie a las estaciones, con independencia de que dichos espacios sean o no titularidad de Adif (el gestor de la infraestructura ferroviaria que usa Renfe)".
Adis es propietaria de las tres estaciones ferroviarias de Cercanías denunciadas, pero la gestión integral de las mismas se encuentra cedida a Renfe desde septiembre de 2011, incluyéndose aquí las labores de seguridad y vigilancia.
Exceso de vigilancia
Según la Agencia, la cuestión a dilucidar se ha centrado en las cámaras que captan las imágenes de toda la extensión de los parkings, afirmando a este respecto que sería admisible un sistema que captara la parte mínima imprescindible para la seguridad del acceso o de la vigilancia de los muros, pero éste no es el caso.
En su opinión, la compañía ha ido mucho más allá, realizando un tratamiento masivo de datos diario que, además, se conserva al menos durante 15 días, sin que Renfe puedan especificar el periodo máximo de retención.
Según las investigaciones, las imágenes se captan haciendo identificables a las personas y vehículos en los espacios destinados a parkings, espacio de tránsito público generalizado, y en los espacios destinados al acceso a la estación, con la importante apreciación de que los vehículos que se aparcan son propiedad de particulares, el acceso es libre y no permanecen cerrados en ningún momento.
La Agencia considera que la titularidad privada de un terreno abierto no justifica per se la realización de grabaciones de imágenes en el caso de que se trate de un "lugar público".
Todo ello lleva a concluir a la AEPD que las videocámaras instaladas por Renfe realizan tratamientos de datos de carácter personal excesivos, vulnerando el artículo 6.1 de la Ley Orgánica de Protección de Datos, ante lo que ha decidido imponer una sanción de 40.001 euros a la empresa pública por una infracción tipificada como grave.
Samuel Parra, socio de la firma ePrivacidad, recuerda precisamente que Renfe ya fue sancionada en ocasiones anteriores por vulnerar la normativa de protección de datos.
Así por ejemplo, en mayo de 2010 fue multada con 6.000 euros por utilizar formularios de recogida de datos sin respetar las previsiones de información que estipula la Ley Orgánica de Protección de Datos.
Fuente: Lainformacion.com
fecha: 26/10/2012
El Servicio Andaluz de Empleo, bajo la lupa de la Agencia de Protección de Datos
El Servicio Andaluz de Empleo (SAE) está en el punto de mira de la Agencia Española de Protección de Datos. El organismo encargado de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación está investigando la denuncia presentada por una empleada despedida en diciembre contra los denominados Puntos Virtuales de Empleo, es decir, los cajeros que ha puesto en funcionamiento la Administración autonómica para facilitar a los desempleados el sellado de su tarjeta del paro a través de Internet.
Según la denuncia presentada el pasado 14 de diciembre, a la que ha tenido acceso ABC, los datos personales de los desempleados inscritos en la agencia dependiente de la Consejería de Economía, Innovación, Ciencia y Empleo quedan expuestos «en manos de todo el que quiera hacer uso de ellos» sin su autorización. Basta con introducir el número de DNI del demandante y una contraseña o código pin que aparece en el documento, denominado «darde», que acredita el sellado anterior y que especifica la fecha de la siguiente actualización de la tarjeta del paro.
Según indicó la denunciante a ABC, su queja llegó el pasado 16 de enero al departamento de investigación de la Agencia Española de Protección de Datos, con sede en Madrid, y tardarán entre tres y seis meses en recibir una respuesta por escrito a su escrito.
En la denuncia, la extrabajadora especifica que el documento con la contraseña del demandante suele entregarse a entidades como los sindicatos o una autoescuela a la hora de pedir la inscripción a un curso de formación. Se trata de uno de los documento que exigen para justificar que el solicitante está en situación de desempleo. «Se obliga a presentar la solicitud rellena y firmada, acompañada de la fotocopia del DNI», especifica en su escrito dirigido a la Agencia Española de Protección de Datos. Como consecuencia, «cualquiera puede con estos datos entrar en la demanda de la persona», conocer datos privados y hasta modificar los datos de su demanda. Además lo puede hacer desde un ordenador personal o a través de la oficina virtual de empleo instalada en las sucursales del SAE y de cuya supervisión se encargan empleados subrogados de la antigua Fundación Andaluza Fondo Formación y Empleo (Faffe).
Los trabajadores de esta extinta fundación, absorbidos por la agencia pública de empleo, constituyen actualmente el grueso del personal en las citadas oficinas después del despido de 826 asesores y promotores de empleo que orientaban a los parados, ceses que se hicieron efectivos durante los meses de noviembre y diciembre. Sus contratos se financiaban con un programa estatal que se ha extinguido y la Junta de Andalucía se niega a sufragar sus retribuciones con recursos propios a pesar de que han protagonizado reiteradas acciones de protesta para pedir su readmisión e incluso han recogido más de 16.000 firmas de usuarios apoyando su causa en lugar de mantener a los que denominan los «enchufados» de la extinta fundación.
La falta de personal ha dejado en servicios mínimos las oficinas del SAE, que suplen las carencias de trabajadores fomentando el sellado de la cartilla del paro por internet para atajar las colas de demandantes.
Fuente: ABCdeSevilla
Fecha: 23/01/2013
Benidorm: El Ayuntamiento abandona decenas de expedientes con datos personales
El portavoz del Grupo Municipal del PP en el Ayuntamiento de Benidorm, Antonio Pérez, ha denunciado este miércoles que el equipo de gobierno socialista vulnera de forma «flagrante» la Ley de Protección de Datos, al dejar abandonados en el sótano del Palau d’Esports l’Illa de Benidorm decenas de expedientes con datos personales.
Antonio Pérez ha explicado que estos expedientes corresponden a la Concejalía de Consumo y de la Oficina Municipal de Información al Consumidor (OMIC) y ha considerado que «estamos ante un asunto muy grave y ante una flagrante vulneración de la Ley de Protección de Datos».
Por este motivo, esta mañana ha dirigido un escrito al alcalde Agustín Navarro solicitándole que los Servicios Técnicos Municipales retiren de forma urgente toda la documentación que se encuentra abandonada en el inmueble.
En el escrito remitido a Navarro, el PP pide también que de forma inmediata se proceda a depositar toda esa documentación y esos enseres «en un espacio municipal en el que se garanticen las mínimas condiciones de custodia y normas de seguridad de los mismos».
Del mismo modo, los populares solicitan «que se proceda a la revisión y, en su caso, archivo o destrucción, garantizando la máxima discreción y seguridad en el proceso», y que se depuren «las responsabilidades políticas que procedan en responsabilidad por incumplimiento de la Ley de Protección de Datos».
Antonio Pérez ha recordado que «el pasado 29 de agosto el Grupo Municipal del Partido Popular ya denunció la alarmante falta de custodia y archivo de diferente documentación correspondiente a la Concejalía de Consumo y, más concretamente, a expedientes con numerosas denuncias y datos de la ciudadanía en general ante la Oficina Municipal de Información al Consumidor de Benidorm».
En el escrito dirigido al alcalde, los populares también recuerdan que «dicha documentación y expedientes, apilados en el aparcamiento libre y abierto del sótano del Palau d’Esports l’Illa de Benidorm, había sufrido las inclemencias de las fuertes lluvias de esos días, debido sin duda a lo que era (y es) un lamentable estado de depósito, no garantizándose para nada la mínima custodia exigida y pudiendo afectar a su estado de conservación».
Fuente: ABC
Fecha: 30/01/2013
Protección de Datos sanciona a Gas Natural tras la denuncia de una consumidora avilesina
La Agencia Española de Protección de Datos ha iniciado un proceso sancionador contra Gas Natural Servicios SDG, Sociedad Anónima, después de la denuncia presentada por Ana Rigueira, una consumidora avilesina que informó al organismo del uso irregular que la citada empresa hacía de los datos personales de un familiar próximo.
El pasado febrero, el director de la Agencia Española de Protección de Datos acordaba iniciar el procedimiento sancionador en un acto contra el que la empresa no puede presentar recurso alguno. En su decisión, califica la infracción como «grave» y la compañía afronta una multa que oscilará entre los 40.001 y los 300.000 euros. El origen de la sanción es el uso de datos de carácter personal sin el consentimiento adecuado del afectado.
El origen de este procedimiento se remonta a agosto de 2011, cuando un familiar próximo, de edad avanzada y afectado por varias enfermedades, de Ana Rigueira suscribió varios contratos con Gas Natural Servicios SDG Sociedad Anónima. A partir de ese momento, la empresa comenzó a girar facturas y reclamar el cobro de servicios, incluso como el gas natural, a pesar de que su domicilio no tiene conexión a la red.
En esa situación, en octubre de 2011, Ana Rigueira solicitó a la empresa una copia de los contratos firmados, anunciando su cancelación y negándose a ceder sus datos personales a la empresa.
En noviembre de ese año, la empresa confirmó por escrito la cancelación de la autorización de la cesión de los datos personales, indicando que sólo se utilizarán para gestionar el gas natural, aunque el domicilio carece de conexión.
A finales de diciembre de ese año, se remitía la documentación de nuevos contratos, como el suministro eléctrico, sin firma del cliente. Durante este periodo, la empresa sigue reclamando el cobro de servicios como el suministro eléctrico.
En febrero de 2012, Ana Rigueira denunció lo sucedido a la Agencia de Protección de Datos y, al mes siguiente, le enviaba toda la documentación que acreditaba la relación con la empresa y sus diferentes peticiones. A partir de ahí, la organización comenzaba a investigar antes el caso de emitir su decisión, comunicada a la denunciante en febrero de este año.
Ana Rigueira no oculta su satisfacción por la decisión de la Agencia de Protección de Datos. «Es una de las formas más efectivas que tenemos los consumidores de defendernos», apuntó.
Durante su investigación, los técnicos de la Agencia de Protección de Datos concluyeron que la compañía denunciada «realizó tratamiento de los datos personales de la denunciante sin tener en cuenta el principio del consentimiento del afectado» recogido en el artículo seis de la Ley Orgánica de Protección de Datos de Carácter Personal y que lo recoge como una infracción grave.
También concluye que no existe constancia de que la empresa cancelase la cesión de los datos, tanto en sus ficheros propios como en aquellos transferidos.
Fuente: La Voz de Avilés
Fecha: 02/04/2013
Vodafone, multada con sólo 20.000 euros por filtrar datos personales de sus clientes
Vodafone ha conseguido librarse de una multa de 300.000 euros. A pesar de que datos personales de sus clientes han estado visibles en la Red durante medio año, la compañía solo debe pagar 20.000 euros.
La historia se remonta a 2011. Entonces, dos de sus usuarios denunciaron ante la Agencia Española de Protección de Datos (AEPD)que, al buscar sus nombres en Google, aparecían informaciones confidenciales que se rastreaban desde la web del operador.
Los afectados alegaron ante el organismo que no existía ningún tipo de control sobre sus datos y que, durante meses, no habían recibido explicación alguna por parte de la compañía británica.
Para demostrar el error, uno de los denunciantes grabó un video, a través del cual se podría ver que no sólo se captaban sus datos, sino los de casi 200 personas. De todas ellas se publicaba su DNI, correo electrónico, nombre y condición profesional.
Una vez que la AEPD avanzó en sus investigaciones, el operador alegó en su defensa que la responsabilidad era completamente de Google declarando que “debido a que se filtraron una pequeña parte de los clientes de Vodafone sólo en Google, y no en otros buscadores como Yahoo! o Bing, pudieran haber sido las herramientas de Google instaladas en los equipos de los usuarios afectados las responsables de mostrar páginas privadas, a las que únicamente se podría acceder por medio de contraseña”.
Las acusaciones de la teleco hacia Google contrastan con la agilidad y la cooperación del buscador, que apenas tardó 24 horas en prestar consejo técnico a la compañía y en bloquear más de 2.000 enlaces de internet.
Protección de Datos, tras evaluar los hechos, ha terminado declarando que la responsabilidad es de Vodafone y le ha impuesto una sanción de 20.000 euros “por insuficiencia de las medidas de seguridad, que posibilitó que cualquier tercero no identificado pudiera acceder a los datos personales de los clientes de la entidad mediante un buscador”.
La sanción, sin embargo, es muy inferior a la que podría haberse impuesto. El portal especializado en borrar datos de la red, www.salirdeinternet.com, afirma que “la multa podría haber llegado a los 300.000 euros, teniendo en cuenta que los datos estuvieron accesibles durante meses. Como ejemplo, en 2010, la AEPD sancionó a Vodafone con 100.00 euros por mostrar en su web los datos de 22 clientes durante menos de 24 horas”.
Fuente: Lainformacion.com
Fecha: 21/05/2013
Orange pagará 100.000 euros por meter a un vecino de A Coruña en una lista de morosos
La compañía France Telecom tendrá que pagar una multa de 100.000 euros por haber metido a un vecino de A Coruña en un fichero de morosos a cuenta de un servicio que en realidad no había contratado. La supuesta deuda era de 320,80 euros, pero la empresa no fue capaz de aportar ninguna prueba que demostrase que había contrato alguno para las dos líneas que pretendía cobrarle. La Audiencia Nacional acaba de confirmar la sanción.
El afectado es un hombre nacido en Monforte que trabaja y vive en A Coruña. En abril del 2009 se enteró de casualidad de que lo habían incluido en un fichero de morosos. Estaba haciendo unas gestiones en su banco cuando lo avisaron de que «tenía registrada una ??incidencia financiera activa??». Después de algunas indagaciones, comprobó que su nombre figuraba en el registro de moroso de la Asociación Nacional de Establecimientos Financieros de Crédito (Asnef) por una deuda con Orange, la marca comercial de France Telecom.
La víctima presentó una denuncia en comisaría y poco después otra en en la Agencia Española de Protección de Datos. En las dos alegaba que no había suscrito ningún contrato con Orange y que, desde luego, no había autorizado a esta compañía a manejar sus datos personales. En paralelo, el 22 de abril advirtió por teléfono a la empresa de lo que sucedía y el día 30 le pidió mediante un burofax que lo sacase del archivo de morosos. Pero su nombre siguió en la lista de Asnef hasta el 16 de junio.
En una primera resolución de noviembre del 2010, la Agencia de Protección de Datos condena a Orange por dos infracciones graves, una por cada una de las dos líneas que pretendía cobrar. Tras un recurso de la empresa, la agencia aceptó en junio del 2011 aplicar la versión de la ley de protección de datos reformada en el 2011 y deja la sanción en 50.000 euros por cada línea, en vez de los 60.000 iniciales.
Fuente: La voz de Galicia
Fecha: 06/06/2013
Piden a Google que evite autocompletar con 'Gay' una búsqueda sobre una persona
En mayo de 2012, un español se puso en contacto con Google y le informo que mientras tecleaba su nombre en el famoso buscador, este sugería la palabra “Gay”. El perjudicado, que afirmaba que no era Gay, consideraba esta situación “molesta y ofensiva” y calificaba los hechos como una “una puerta a la difamación”. Desde Google Spain, S.L. le informaron al afectado que debería dirigirse a Google Inc., que es el responsable del buscador. Sin embargo, el afectado no se dio por enterado y directamente presentó una reclamación en la Agencia Española de Protección de Datos, que requirió explicaciones a Google de lo sucedido.
Desde Google, informaron que todo se debía a la función de “autocompletado”, por medio de la cual cuando un usuario teclea los términos de una consulta en el cuadro de búsqueda del buscador, el algoritmo de la función Autocompletar predice los términos de búsqueda que el usuario podría estar introduciendo para que el usuario pueda seleccionarlos y facilitar su búsqueda. Desde Google explicaron que para determinar dichas predicciones, se usa un procedimiento basado en algoritmos sin intervención manual ni humana, asimismo afirmaron que la función Autocompletar no proporciona información acerca del solicitante, ni son oraciones, ni tienen en sí mismas significado necesariamente, ni son imputaciones de hechos, calificaciones o valoraciones.
Sin embargo, la Agencia Española de Protección de Datos, en una reciente Resolución a la que ha tenido acceso este medio, ha desechado todos los argumentos de Google y ha considerado que el famoso buscador debe dejar de mostrar esta información asociada el nombre de la persona afectada.
Expone la Agencia de Protección de Datos en su Resolución que Google está realizando un tratamiento de datos referentes a la vida sexual del individuo, y que Google tiene capacidad para limitar la función de autocompletado (como así pone de manifiesto Google en su Web cuando se trata de informaciones que inciten al odio, pornográficas o posibles violaciones de la propiedad intelectual).
Desde el portal especializado en protección de datos, www.salirdeinternet.com afirman que el “autocompletado” le ha dado numerosos quebraderos de cabeza a Google en otros países, que “perfectamente debería ser sancionado por esto, pues con la Ley en la mano, el buscador ha estado tratando incorrectamente datos durante meses. Lo fácil es decir que lo retire pero lo difícil es decirle a Google que se le sanciona por no haber cesado en una conducta errónea”.
Algunos autocompletados
•Google es una basura
•Franco era un buen hombre
•La Sexta es una porquería
•Los catalanes son unos nazis
•Hitler era un genio
•Hitler es dios
•Gandhi era racista
•Bill gates es autista
•El país es un periódico de derechas
•Voy a matar a mou guardiola
•La droga es la autentica salud el bienestar la alegria
•Los Andaluces son tontos/vagos/analfabetos
•Fabricar una/ bomba/pistola
•Aznar es un asesino
•Zapatero es/ masón/ gay/ diputado/ tonto
Fuente: El Norte de Castilla
Fecha: 14/12/2012
Las denuncias sobre Protección de Datos aumentaron más de un 12% en 2012
La Agencia Española de Protección de Datos (AEPD) ha publicado hoy su Memoria 2012, que recoge la evolución registrada en la actividad de las distintas áreas de la institución, los ámbitos más destacados, y los desafíos presentes y futuros en cuanto a privacidad.
En 2012, el número de denuncias registradas en la Agencia ha aumentado un 12,37 por ciento (8.594) respecto a las presentadas en 2011 (7.648), manteniéndose estable el número de solicitudes de tutela de derechos (-1,66 por ciento).
A lo largo de este ejercicio, la AEPD ha potenciado tanto las acciones dirigidas a simplificar el ejercicio de los derechos por los ciudadanos como a facilitar el cumplimiento de la normativa por parte de los sujetos obligados a ello, ampliando los materiales y herramientas disponibles en su web y poniendo en funcionamiento la Sede electrónica. El notable crecimiento de la actividad de la Agencia se refleja, entre otros aspectos, en un incremento del 15 por ciento en los ficheros inscritos y de casi un 40 opr ciento en las resoluciones dictadas.
En cuanto a los sectores o ámbitos de actividad con mayor número de denuncias y actuaciones de investigación, en primer lugar se encuentra el sector de las telecomunicaciones con 2.652; la videovigilancia con 1.271 actuaciones previas de investigación; entidades financieras con 1.077; servicios de internet excepto spam con 404; y suministro de comercialización de energía y agua con 270. En este punto, hay que destacar el incremento sustancial del número de denuncias por suplantación de identidad, en especial en el área de suministro y comercialización de energía y agua, con un 222 por ciento, y en telecomunicaciones, con un 92 por ciento con respecto a 2011.
Las solicitudes de ciudadanos que acudieron a la AEPD recabando la tutela de sus derechos se consolidan. Ocupan el primer lugar las solicitudes del derecho de cancelación (1.202) seguidas de las relativas al derecho de acceso (680), dictándose resolución estimatoria en un 30,1 por ciento y un 44,26 por ciento de los casos respectivamente.
Estas cifras confirman la tendencia de años anteriores en el sentido de que las principales inquietudes de los ciudadanos en el ejercicio de los derechos ARCO son conocer qué datos suyos son objeto de tratamiento y, en mayor medida, conseguir su cancelación. Por sectores de actividad, las solicitudes de cancelación afectan, principalmente, a los ficheros de solvencia patrimonial y crédito (312) y a los de las empresas de telecomunicaciones (158). Respecto del derecho de acceso destacan las relacionadas con los historiales clínicos (126).
Entre las solicitudes de tutelas destacan las relativas al llamado derecho al olvido en internet, que se consolida como un derecho cada vez más reclamado por los ciudadanos. De las tres solicitudes iniciales recibidas en la Agencia en 2007 se ha pasado a las 181 reclamaciones de 2012, un 13 por ciento más que el año anterior.
En lo referente a la potestad sancionadora, en 2012 se han dictado un total de 896 resoluciones declarativas de infracción, de las cuales 863 tuvieron como destinatarios a responsables privados y 33 a Administraciones Públicas. De las 863 resoluciones declarativas de infracción que recayeron sobre el sector privado, 557 resoluciones culminaron con sanción económica, y 306 concluyeron en apercibimiento. Merece, por tanto, destacarse que, de las infracciones declaradas sobre responsables privados en aplicación de la LOPD, más del 34% concluyeron en apercibimiento, es decir, sin imposición de sanción.
En cuanto a las sanciones, el volumen total ascendió en 2012 un 7,43 por ciento, alcanzando la cifra de 21.054.656 euros. En cuanto a la distribución de su cuantía, el sector con mayor importe global fue el de telecomunicaciones, que supone un 73 por ciento del total (15.368.938 euros), con un incremento del 24,06 por ciento con respecto a 2011. En esta área, tres de los principales operadores acumulan el 70,94 por ciento del importe global de multas. También se han declarado sanciones con un importe superior al millón de euros en el caso de entidades financieras (2.853.000 euros -13,55 por ciento del total-) y de suministro y comercialización de energía/agua (1.270.000 euros -6,03 por ciento del total-). Por el contrario, pese al elevado número de resoluciones declarativas de infracción en actividades de videovigilancia (31,98 por ciento del total de resoluciones), la cuantía de las sanciones impuestas representa sólo el 1,60 por ciento del total.
En los procedimientos de declaraciones de infracción relativas a las Administraciones Públicas, se ha producido una importante disminución en el número de declaraciones de infracción, que descienden un 61,62 por ciento respecto 2011. Este dato debe matizarse teniendo en cuenta que en el año 2011 las resoluciones declarativas de infracciones por las Administraciones públicas tuvieron un importante incremento como consecuencia de las que afectaron a la vulneración de la LOPD por los Registros de la Propiedad. No obstante, aun excluyendo tal circunstancia, se observa una importante disminución en este tipo de declaraciones.
Consultas de la ciudadanía
En 2012 se atendió un volumen cercano a las 112.000 consultas, en las que el canal telefónico, con 97.162, figura como el más utilizado por los ciudadanos. Sin embargo, se aprecia un uso creciente de otros canales de información, como la página web y la Sede electrónica de la Agencia.
Los principales temas sobre los que se ofreció asesoramiento fueron los relacionados con el sector de las telecomunicaciones (24,41 por ciento de las cuestiones) y con el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (10,5 por ciento).
En el sector de las telecomunicaciones, las consultas se centraron en dos aspectos: el relacionado con los impagos en las facturas y la posterior inclusión en ficheros de morosidad (en ocasiones con referencia a empresas de recobro de deudas) y el relativo a altas fraudulentas sin información ni consentimiento de los abonados.
Sobre los derechos ARCO, el ejercicio del derecho de cancelación sigue constituyendo la primera preocupación de los ciudadanos (50,35 por ciento de las consultas sobre ejercicio de derechos). Las consultas relativas al derecho de oposición ocupan el segundo lugar (30,9 por ciento del total), vinculado específicamente a su ejercicio en Internet, manteniéndose en tercer lugar las consultas sobre el derecho de acceso (13,1 por ciento).
Ficheros inscritos
El año 2012 finalizó con más de 3 millones de ficheros inscritos en el Registro General de Protección de Datos, una cifra que supone un incremento de un 15 por ciento respecto al cierre del año anterior. De ellos, 2.865.720 ficheros son de titularidad privada (95,4 por ciento) y 137.396 de titularidad pública (4,6 por ciento).
Al igual que ocurrió en 2011, el menor incremento en la inscripción de nuevos ficheros de titularidad privada probablemente siga siendo un reflejo de la crisis económica y de la tasa negativa de crecimiento en el número de empresas activas, que acumuló un descenso del 6,5 por ciento en el periodo 2008-2011 según el INE. No obstante, el creciente grado de concienciación y responsabilidad sobre el cumplimiento de la normativa de protección de datos personales en el ámbito empresarial ha dado lugar a que el número de empresas con ficheros inscritos en el RGPD se haya incrementado un 168 por ciento en el periodo 2008-2012.
En lo que respecta a ficheros de titularidad privada, los mayores incrementos porcentuales se han producido en los ficheros con finalidades de guías/repertorios de servicios de comunicaciones electrónicas, comercio electrónico y videovigilancia, con variaciones relativas superiores al 30 por ciento. La finalidad de gestión de clientes, contable, fiscal y administrativa continúa siendo la más significativa en términos absolutos, ya que un 61 por ciento de los ficheros inscritos tienen declarada esta finalidad. Le siguen las de recursos humanos y gestión de nóminas, declaradas en un 23 por ciento y un 17 por ciento de los ficheros respectivamente.
Por comunidades autónomas, la que presenta mayor número de ficheros privados notificados es Cataluña con 512.221, seguida de Andalucía con 438.948 y en tercer lugar Madrid con 428.021.
En otro ámbito hay que destacar que en 2012 se ha producido un novedoso precedente relacionado con la investigación al autorizarse la conservación íntegra con fines históricos de los datos relacionados con afiliados y representantes solicitada por la Confederación Sindical de Comisiones Obreras (CCOO), al cumplirse los requisitos legalmente establecidos.
Gabinete Jurídico y sentencias
El área jurídica de la AEPD, emitió el pasado año un total de 483 informes en los que dio respuesta a consultas planteadas tanto por órganos de Administraciones Públicas (292) como por entidades privadas (191).
En cuanto a las sentencias de la Audiencia Nacional recaídas en los recursos interpuestos contra resoluciones de la AEPD, del total de 187 sentencias, 45 fueron desestimatorias, 13 inadmisiones, 42 estimatorias, y 87 resultaron parcialmente estimatorias. Es preciso clarificar que de estas 87 sentencias, 75 lo han sido como consecuencia de la aplicación retroactiva del nuevo régimen sancionador de la LOPD establecido por la Ley de Economía Sostenible. Ello ha conducido a que, si bien la Sala de la Audiencia Nacional ha considerado que las resoluciones de la Agencia son conformes a derecho en lo que se refiere al fondo del asunto, la sanción impuesta ha de adecuarse a las nuevas previsiones legales.
Por su parte, el Tribunal Supremo, dicto un total de 21 sentencias. En relación con estos recursos, declaró en 10 sentencias no haber lugar a los recursos interpuestos contra sentencias que confirmaban las resoluciones de la Agencia, que quedaron así confirmadas; acordó en 6 supuestos no haber lugar al recurso interpuesto por la representación procesal de la Agencia contra sentencias que estimaban los recursos interpuestos contra la resolución de esta Agencia; declaró en una sentencia no haber lugar a sendos recursos interpuestos tanto por la representación procesal de la Agencia como por la de la entidad sancionada frente a una sentencia de la Audiencia Nacional que había estimado parcialmente el recurso contra una resolución sancionadora de la Agencia; y finalmente, en cuatro supuestos acordó la inadmisión del recurso.
Retos para la privacidad
La Memoria de la AEPD analiza algunos de los retos más relevantes en cuanto a privacidad. El seguimiento de los hábitos de navegación a través de las cookies y el imprescindible consentimiento informado del usuario para su instalación; las quiebras de seguridad y la obligación de notificarlas; los desafíos para la protección de datos que implica el cloud computing, con un potencialmente elevado número de actores involucrados y la implicación frecuente de transferencias internacionales; o los riesgos del reconocimiento facial en los servicios online con la correspondiente legitimación, son algunos de ellos.
Los avances realizados en 2012 en materia de cooperación internacional también ocupan un espacio destacado en la Memoria 2012. La oferta de servicios globalizados, especialmente en Internet, ha determinado que el análisis de sus implicaciones sobre la protección de los datos personales y la respuesta a las mismas supere los ámbitos nacionales. El momento presente implica que las actuaciones de cooperación deben dar nuevos pasos adelante, con el acuerdo por parte de las autoridades de la Unión para trabajar de forma coordinada. En este sentido, hay que señalar una importante iniciativa institucional por la que las Autoridades de la UE han desarrollado acciones conjuntas de investigación, trabajando sobre una posición común.
Finalmente, la elaboración del Reglamento europeo de Protección de Datos es otro de los temas destacados que se tratan en este apartado. El proyecto introduce varios elementos innovadores con los que pretende adaptar el régimen de protección de datos a los retos actuales. Entre ellos destaca la mayor armonización de la legislación, la definición del ámbito de aplicación para responsables no establecidos en la UE pero que traten datos de europeos, el fortalecimiento de los derechos de los ciudadanos o la configuración de un modelo homogéneo de autoridades de supervisión, entre otros aspectos.
Fuente: El Economista
Fecha: 29/10/2013
La Agencia Española de Protección de Datos concede 10 días al Grupo Eulen para que cumpla con la LOPD
El 12 de diciembre de 2012 Juan Dopazo secretario del comité de Eulen seguridad y Responsable del área de seguridad privada en Navarra de CSI-F solicitó, a petición de varios trabajadores, la no inclusión del numero de DNI en los cuadrantes de los servicios, por representar un riesgo y ser un dato innecesario en dichos cuadrantes. Dichos cuadrantes están expuestos en los tablones de las empresas clientes, en los vehículos de la empresa, etc. Igualmente comunicó a la empresa que datos como la afiliación sindical, la Ley Orgánica de Protección de Datos (LOPD) le otorga un nivel de protección alto.La dirección del Grupo Eulen en Navarra hizo caso omiso a la petición. Así que tras meses de conversaciones sin que se atendiera a lo solicitado, el 15 de marzo de 2013 el secretario del comité ejerce su derecho de oposición como establece la LOPD frente a la dirección de la empresa. Sin que nuevamente se tomara en consideración el asunto.Harto de la situación el secretario y representante de CSI-F ejerce su derecho de tutela ante la Agencia Española de Protección de Datos (AGPD) el 29 de abril de 2013, dando así mucho mas margen al Grupo Eulen que el que establece la ley para estos casos, que es de 10 días.Después de esto, la AGPD abre expediente sobre el asunto solicitando alegaciones a ambas partes. Mientras la empresa continua en sus trece y sigue utilizando los DNI de los trabajadores y marcando en algunos cuadrantes las horas sindicales utilizadas por algunos miembros del comité, que no de todos. El 18 de agosto en una reunión del comité, los miembros asistentes como máxima representación de los trabajadores, deciden que se denuncie la situación sobre la utilización de los datos mencionados anteriormente, ya que la empresa aunque ha comunicado a la AGPD que no los pone en los cuadrantes, continua haciéndolo.Denuncia que la AGPD acumula a la tutela del representante de CSI-F para que la empresa proceda a eliminar de los cuadrantes los datos que no sean necesarios para la realización de los mismos, dando un plazo de 10 días al Grupo Eulen para que remita certificación al reclamante, en la que haga constar que ha atendido completamente el derecho de oposición solicitado. De lo contrario el grupo Eulen se enfrenta a una sanción que puede ser de entre 900 y 600.000 euros dependiendo del grado de gravedad de la infracción, artículos 44 y 45 de la LOPD.Desde CSI-F no entendemos como el Grupo Eulen, teniendo una empresa dedicada a la seguridad en todas sus vertientes, se toma tan a la ligera una Ley que protege, regula y da seguridad a todos sus trabajadores, a los clientes y al grupo en si mismo. Más en la época en la que estamos, donde la privacidad, datos personales, datos de clientes, etc es información muy sensible y puede ser muy perjudicial según el trato o utilización que se le de.Nota de prensa La Agencia Española de Protección de Datos concede 10 días al Grupo Eulen para que cumpla con la LOPD en comunicae.es
Fuente: denoticias
Fecha: 19/10/2013
El Real Mallorca vulneró la LOPD con sus propios socios
El Real Mallorca de Lorenzo Serra Ferrer vulneró la Ley Orgánica de Protección de Datos (LOPD) el pasado año, cuando facilitó como mínimo a la Peña Barralet datos personales de sus socios sin tener consentimiento para hacerlo.
Así lo ha resuelto la Agencia Española de Protección de Datos, un ente público independiente, que ha calificado como ‘grave’ la conducta llevada a cabo por la institución bermellona y la peña mallorquinista.
La información, adelantada en Onda Cero Mallorca, deja en mal sitio al Real Mallorca, ya que, en opinión de la Agencia, ha quedado demostrado que no se ha respetado un principio básico como es la intimidad de sus propios abonados. De hecho, el club sólo se ha librado de una fuerte sanción económica por no tener antecedentes al respecto.
Los hechos ahora resueltos se remontan al mes de julio de 2012, cuando diversos abonados del Real Mallorca recibieron en sus domicilios cartas procedentes de la Peña Barralet, en las que se indicaba entre otros datos el nombre del destinatario, el precio pagado por el abono, o la ubicación en la grada de Son Moix del socio en cuestión. Una información de la que sólo disponía el Mallorca y que el club puso a disposición de la Peña Barralet sin el consentimiento de los afectados, algo que no permite salvo autorización expresa la LOPD.
Dos socios denunciaron entonces a la entidad ante la Agencia Estatal, que ahora ha resuelto en contra del Mallorca. Joan Jaume fue uno de los abonados que quiso poner en manos del organismo correspondiente lo que entendía como una violación de su intimidad. Este jueves, en Onda Cero, ha mostrado su satisfacción con el resultado final, y ha recordado que se realizó un ‘uso fraudulent0′ de sus datos por parte de la entidad que controla Serra Ferrer, con permiso de Biel Cerdà.
Hace un par de meses, una socia denunció también al club, en esta ocasión ante la Oficina de Consumo del Ayuntamiento de Palma, a raíz de la campaña de abonos a 50 euros que el club puso en marcha de la mano de la Federación Balear de Fútbol.
Se da además la circunstancia de que el máximo responsable de la Peña Barralet es Miquel Mesquida, presidente a su vez de la Federació de Penyes Mallorquinistes, lo que ha despertado las suspicacias de algunos socios y ha hecho que el anterior presidente, Rafa Martorell, exija a través de Twitter la dimisión de Mesquida, quien accedió al cargo con el apoyo del máximo accionista.
Fuente: Mallorcaconfidencial
Fecha: 17/10/2013
Los riesgos del uso de Whatsapp en la comunicación abogado-cliente.
Francisco Pérez Bes, vicepresidente de ENATIC y miembro de la Comisión Jurídica del Consejo General de la Abogacía Española
Con fecha 2 de julio de 2013, la Autoridad Catalana de Protección de Datos (APDCAT), emitió un Dictamen a solicitud del Colegio de Abogados de Sabadell, el cual solicitó a dicho organismo regulador a que se pronunciara en cuanto a los eventuales riesgos que puede implicar el uso de las conocidas aplicaciones de mensajería instantánea “Whatsapp” y “Spotbros” en el ámbito profesional de las relaciones entre abogado y cliente, así como respecto del grado de adecuación de dicha herramienta a la normativa de protección de datos.
Tras un detenido análisis de la citada aplicación, tanto desde un punto de vista técnico como de los términos y condiciones de uso, las conclusiones a las que llega la APDCAT respecto de la idoneidad de su uso en este caso, son las de desaconsejar dicho uso dentro del ámbito de la relación profesional antes citada.
En este sentido, la APDCAT concluye que, sin perjuicio de la eventual responsabilidad legal que pudiera corresponder a la citada plataforma por el inadecuado tratamiento de los datos de sus usuarios, el abogado tiene un grado de responsabilidad específico respecto al tratamiento de los datos de sus propios clientes, entre lo que se incluye la elección del canal de comunicación más adecuado para tales fines.
A esto hay que añadir que, para la Autoridad Catalana, está claro que en el contexto de la relación entre abogado y cliente puede ser habitual la comunicación y tratamiento de datos considerados sensibles de los definidos en el artículo 7 de la LOPD, como pueden ser, por ejemplo, datos de salud o datos relativos a la comisión de infracciones penales o administrativas.
Tal circunstancia, unida al hecho de haberse detectado diversas vulnerabilidades de seguridad, lleva a considerar que el uso de las aplicaciones analizadas en el ejercicio de la abogacía en España, no resulta recomendable, ya que aquellas no garantizarían la seguridad de la información exigida por la normativa de protección de datos.
Para la realización de este Dictamen, la APDCAT se basa en la Opinión 2/2013, de 27 de febrero de 2013, emitida por el Grupo de Trabajo del Artículo 29, sobre aplicaciones en dispositivos inteligentes (“Opinion 2/2013, on apps on smart devices”). También se hace referencia al Dictamen de la Autoridad de Protección de Datos holandesa, de enero de 2013 (“Investigation into the processing of personal data for the “whatsapp” Mobile application by WhatsApp. Inc.”), en el que se analizan las actividades de dicha app a la vista de la normativa europea de protección de datos y privacidad; y al Dictamen de la Autoridad Federal de Canadá (Office of the Privacy Commissioner of Canada), también de enero de 2013, sobre la ley canadiense de protección de datos (“Findings under the Personal Information Protection and Electronic Documents Act – PIPEDA”).
El Dictamen de la APDCAT, una vez analizados, de forma detallada, los términos y condiciones de uso de la citada aplicación de mensajería instantánea, sostiene que, en tanto en cuanto Whatsapp utiliza (al igual que Spotbros), para la prestación de sus servicios, terminales situados en territorio español, a la misma le resulta de aplicación la legislación española, por lo que, a estos efectos, debe cumplir –sin excepción- con los principios y garantías recogidos en la normativa española sobre protección de datos de carácter personal. En relación a este extremo, hay que recordar que el Considerando 24 de la Directiva 2002/58/CE ya reconoce que los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda la información almacenada en tales equipos forman parte de la esfera privada de los usuarios, lo que implica que la información personal a la que se acceda a través de aplicaciones, debe quedar protegida por la LOPD.
El alcance de la normativa europea en estos supuesto ya fue analizada por el Grupo de Trabajo del Artículo 29 en su Documento de 30 de mayo de 2002, sobre la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la Unión Europea; y el Dictamen 8/2010 sobre Derecho aplicable. Asimismo, el artículo 5.3 de la Directiva 2002/58/CE prevé que en relación con el almacenamiento de información y la obtención de acceso a la información almacenada en el terminal de un abonado o usuario, se aplica la Directiva 95/46/CE sobre el consentimiento y el deber de información al usuario.
EL ABOGADO, RESPONSABLE DEL TRATAMIENTO DE DATOS DE SU CLIENTE
Llegados a este punto, la APDCAT afirma, acertadamente, que la relación abogado-cliente no puede incluirse en la excepción de relación en un ámbito doméstico, tal y como recoge el artículo 2.a) de la LOPD. En este sentido, el abogado sería responsable del tratamiento de los datos de su cliente y de los ficheros en que aquellos se incluyen, de manera que deberá velar por el cumplimiento de la normativa de protección de datos.
La problemática en este ámbito se incrementa desde el momento en que apps como Whatsapp se reservan el derecho (y así lo indica en sus términos y condiciones) a acceder no sólo a los datos personales del usuario (entre los que se encuentran nombres y otros datos, como pueden ser fotografías), sino también a los de las personas que el usuario tiene como contactos en su agenda telefónica. Esto implica, afirma la Autoritat en su Dictamen, que el uso de esta aplicación por parte del abogado en su relación con su cliente puede generar un tratamiento de datos personales de aquellos de sus clientes que aparecen como contactos en la agenda de su terminal e, incluso, de terceras personas (porque, por ejemplo, sus datos aparezcan en un mensaje o en un adjunto que se difunda por ese canal). En tal caso, las obligaciones de la LOPD también alcanzan a esta práctica, sin que, a día de hoy, haya quedado acreditado que Whatsapp cumpla con aquellas.
Continúa el Dictamen realizando un análisis de la falta de adaptación de Whatsapp a la normativa sobre protección de datos en otros aspectos tales como el consentimiento para el tratamiento de datos y la obligación de información previa al tratamiento de datos.
Otro elemento clave a la hora de la aplicación de este análisis al sector de la abogacía, es el de la carencia de medidas de seguridad adecuadas. En efecto, uno de los ejes fundamentales en torno al cual gira la normativa de protección de datos es el que tiene que ver con el cumplimiento de las medidas de seguridad técnicas que deben aplicarse al tratamiento de información personal, dependiendo del tipo de información que se maneje y del nivel de protección que deba aplicarse en cada caso, de conformidad con lo dispuesto en el artículo 9 de la LOPD y correspondientes (Título VIII) del Reglamento de desarrollo.
En este caso en particular, el Dictamen hace especial hincapié en el hecho por el cual los propios términos y condiciones de la herramienta que ahora nos ocupa, ya reconocen, de manera expresa, la inexistencia de medidas de seguridad apropiadas para mantener la debida privacidad de la información que en ella circula. Hay que recordar que, conforme a la normativa aplicable, debe ser la plataforma la encargada de aplicar las medidas de seguridad legalmente exigibles. Tampoco hay que olvidar que el abogado ostenta, igualmente, ciertas obligaciones de diligencia que debe aplicar a la información que dispone de sus clientes.
En relación a este punto, el Dictamen es claro cuando dice: “que los propios responsables del tratamiento desaconsejen la comunicación de datos sensibles a través de la app, resulta especialmente relevante a la hora de que el usuario –el abogado en este caso- valore la conveniencia de utilizarla, desde la perspectiva de la protección de datos, ya que las comunicaciones entre abogados y clientes pueden incluir habitualmente datos sensibles, los cuales pueden quedar desprotegidos, como parecen admitir las propias empresas responsables”.
MENSAJES ENVIADOS A LOS SERVIDORES DE WHATSAPP
Además, en este caso, la política de privacidad de Whatsapp afirma que ni se copia ni se guarda ni se archiva el contenido de los mensajes que se envían. Pero los mensajes que escriben los usuarios de esta herramienta son enviados a los servidores de Whatsapp, para que puedan remitirse a los destinatarios de los mismos, siempre y cuando sean, a su vez, usuarios de Whatsapp. Cuando el destinatario del mensaje no está conectado, dicho mensaje se almacena durante un periodo de 30 días, fecha a partir de la cual se borra en el caso de que no pueda ser entregado. Así pues, y a la vista de las afirmaciones anteriores, relacionadas con la ausencia de medidas de seguridad aceptables por la normativa española, la información contenida en esos mensajes puede quedar desprotegida, de manera que terceros puedan acceder inconsentidamente a esos contenidos, los cuales pueden contener datos y otra información de carácter personal.
En particular, en lo que se refiere a las vulnerabilidades identificadas tras el estudio y análisis de la APDCAT, destacan, de un lado, debilidades en la protección de las contraseñas de los usuarios. Según afirma la autoridad holandesa, hace algunos meses se constató que resultaba relativamente sencillo suplantar la identidad de un usuario en Whatsapp y enviar y recibir mensajes de forma fraudulenta. Esta situación –según parece- fue corregida. Pero, a día de hoy sigue constando como vulnerabilidad el hecho de que tal contraseña queda almacenada en un archivo no cifrado del terminal en el que la app ha sido descargada, lo que permitiría accesos no autorizados por parte de terceros a los contenidos de los mensajes entre el abogado y su cliente, pudiendo –incluso- ser manipulados.
De otro lado, también el cifrado de información es objeto de análisis en este Dictamen, alcanzándose la misma conclusión en cuanto a la no observancia de las medidas de seguridad necesarias en aquellos casos en que los mensajes incluyan información de carácter sensible. En efecto, aún a pesar de que la información que, en forma de mensajes instantáneos, se transmite por la app, pueda estar encriptada, su almacenamiento en el terminal no es el adecuado para protegerla de acceso inconsentidos de terceros. Por lo que, de nuevo, nos encontramos ante una carencia crítica que convierte a esta app en no apta para que el abogado se relacione con su cliente.
Por último, el Dictamen de la APDCAT afirma haber acreditado que, desde un punto de vista técnico, se ha puesto de manifiesto que utilizando una API ajena a Whatsapp, un usuario podría distribuir contenidos de manera anónima. Tal hecho permitiría subir archivos (incluyendo virus), y distribuirlos a través de la plataforma, dejando patente un claro riesgo para la seguridad de la información que ahí se haya vertido.
Todo ello, lleva a la autoridad catalana a considerar que ni Whatsapp ni Spotbros, desde una perspectiva técnica, tampoco resultan adecuadas para un tratamiento de datos sensibles que, eventualmente, pueda compartir un ciudadano con su abogado.
Esta opinión de la Autoridad catalana resulta tremendamente importante, pues pone de manifiesto los riesgos que implica el uso de este tipo de apps y otros servicios de mensajería instantánea y de almacenamiento, cuyo uso generalizado y comodidad resultan innegables. Ahora bien, debemos tener en cuenta que el ejercicio de la abogacía exige que se den cumplimiento a otras obligaciones adicionales, como son –entre otras- la obligación de diligencia y secreto profesional. De este modo, se hace patente la cada vez mayor necesidad de identificar qué aplicaciones y otras herramientas resultan adecuadas para gestionar esta relación entre abogado y cliente, pues de otro modo podemos estar incurriendo en infracciones legales y deontológicas graves.
Fuente: Abogacia.es
Fecha: 17/09/2013
¿Pueden grabarme en mi centro de trabajo?
La respuesta a esta pregunta es afirmativa, aunque con ciertos matices, puesto que pone en conflicto valores que gozan de protección jurídica, incluso constitucional.
En este sentido el artículo 20.3 del Estatuto de los Trabajadores faculta, o mejor dicho, legitima al empresario para adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.
En el otro lado de la balanza tenemos la intimidad de las personas (en nuestro caso los trabajadores), derecho fundamental constitucionalmente protegido (18.1 y 18.4). Además, la utilización de sistemas de video-vigilancia implica el tratamiento de imágenes y voces de personas, considerados datos de carácter personal de acuerdo con el artículo 3 a) de la Ley Orgánica 15/1999 (en adelante LOPD), pues se trata de información (1) concerniente a personas físicas identificadas o identificables, por lo que esta facultad de control empresarial por medio de videocámaras, estará sometida a la LOPD y a la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos (AEPD), dictada con la finalidad de adecuar a la LOPD el tratamiento de datos personales a través de sistemas de cámaras o videocámaras y por tanto deberá cumplir ciertos requisitos, sin perjuicio de la protección constitucional anteriormente referida.
La regla general para el tratamiento de datos personales es el consentimiento inequívoco del afectado (artículo 6.1 LOPD). En el caso de las relaciones laborales nos encontramos con que el tratamiento de datos personales por la empresa está justificado sin necesidad del consentimiento del trabajador:
Artículo 6.2: No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
El anterior artículo no opera en ningún caso en perjuicio del deber de información recogido en el artículo 5.1 de la LOPD como argumenta la sentencia 29/2013 de 11 febrero (RTC 2013/29), de importancia capital en este debate:
“[…] Por tanto, no será suficiente que el tratamiento de datos resulte en principio lícito, por estar amparado por la Ley (arts. 6.2 LOPD y 20 LET), o que pueda resultar eventualmente, en el caso concreto de que se trate, proporcionado al fin perseguido; el control empresarial por esa vía, antes bien, aunque podrá producirse, deberá asegurar también la debida información previa. […]”
Hay que hacer hincapié en el deber de informar de la finalidad del tratamiento de datos (la captación de imágenes), esto es, del control empresarial que se está produciendo a través de las videocámaras, no bastando simplemente con informar mediante carteles de la existencia de dichas videocámaras, pues no se trata de “pillar” o inducir a error al trabajador, que puede entender que el fin de la videovigilancia es la seguridad.
Para cumplir con dicho deber, los responsables que cuenten con sistemas de videovigilancia deberán (artículo 3 Instrucción 1/2006 de 8 de noviembre):
a) Colocar un cartel anunciador.
b) Tener a disposición de los interesados impresos como este (aunque en este modelo el fin es la seguridad, no el control empresarial).
Según la AEPD, también habrá de informarse a la representación sindical y a los trabajadores mediante información personalizada (contrato de trabajo).
Informar sobre la finalidad del tratamiento no es baladí, como demuestra la sentencia citada donde se declaró la nulidad de la sanción disciplinaria impuesta por la Universidad de Sevilla a un trabajador basada en imágenes captadas por las cámaras instaladas en el puesto de trabajo.
Sin entrar a analizar otras obligaciones al amparo de la regulación de protección de datos como la inscripción de los ficheros, o la formalización de un contrato en caso de acceso a los datos por cuenta de terceros, el segundo elemento que hay que analizar es la proporcionalidad de las medidas, y esto se debe a dos fundamentos:
1. Principio de calidad de los datos (artículo 4 LOPD). Según este principio, los datos solo podrán recogerse cuando sean adecuados, pertinentes y no excesivos, de acuerdo con el fin para el que se hayan obtenido. A modo de ejemplo, será una medida desproporcionada colocar videocámaras en las zonas de descanso del personal o en los vestuarios (algo que iría además en contra de la dignidad humana) cuando la finalidad sea la verificación del cumplimiento de las obligaciones laborales.
2. Relación de la protección de datos con el derecho fundamental a la intimidad y por otro lado el propio derecho a la protección de datos personales como derecho fundamental autónomo (18.4 Constitución). La doctrina constitucional exige que para establecer medidas restrictivas de derechos fundamentales deben concurrir los requisitos de idoneidad, necesidad y proporcionalidad. Siendo la instalación de cámaras una medida claramente intrusiva solo deberá recurrirse a ella cuando no exista otra más moderada.
En definitiva, puede grabarse a los trabajadores en su centro de trabajo, pero no de cualquier forma ni a cualquier coste.
Fuente: Lawyerpress
Fecha: 23 de AGOSTO de 2013
Protección de Datos exige la retiradade 41 cámaras en parques y colegios
La videovigilancia contra el vandalismo en Alicante controlada en la ciudad por un total de 41 cámaras de seguridad incumple la normativa vigente contra la protección de datos y la privacidad, según la Agencia Española de Protección de Datos. A esta conclusión llega el citado organismo en una resolución emitida en julio en la que insta al Ayuntamiento de Alicante a retirar las cámaras instaladas en tres parques públicos y dos colegios de la ciudad por atentar contra la privacidad del viandante y no tener permiso gubernamental.
La agencia entiende que se vulnera la Ley Orgánica de Protección de Datos (LOPD) al no contar ese tipo de cámaras con autorización del Gobierno –según la agencia el Ayuntamiento solamente ha aportado copia del permiso del Ministerio de Interior para la actividad de la empresa instaladora– y por su amplio radio de captación. La resolución solicita al Consistorio como titular de la videovigilancia que desinstale los equipos o que obtenga la autorización de la Subdelegación del Gobierno. Añade que las cámaras, en cualquier caso, deben estar orientadas hacia el punto a vigilar invadiendo lo mínimo posible la vía pública.
Las zonas afectadas son los parques de La Ereta, Lo Morant, El Palmeral, el Colegio Público Gloria Fuertes y el Colegio 54. Al sistema de vigilancias tienen acceso los miembros de la Policía Local –la resolución concreta que las imágenes se visualizan en un monitor «ubicado en un despacho»– así como la empresa encargada del mantenimiento, según contestó el Consistorio a requerimiento de la agencia. El Ayuntamiento explicó que las cámaras captan, no graban, aunque su intención es que en breve las imágenes queden registradas.
En todos estos puntos Protección de Datos considera que se vulnera la normativa y que se produce un exceso por «desproporción» en la captación de imágenes. «Si bien la finalidad de instalar cámaras en parques y colegios por seguridad es lícita, cabe añadir que en este caso abarcan un gran espacio de vía pública y, algunas de ellas, captan todo el ancho de la calzada y el largo de la calle», dice el escrito.
El experto en privacidad Samuel Parra, socio de E-Privacidad, explicó ayer que la Agencia no tiene potestad para obligar al Ayuntamiento a retirar las cámaras pero sí a hacer el requerimiento y notificarle una infracción grave de la LOPD. Indicó que al tratarse de una administración pública no hay multa, como sí lo habría en el caso de una empresa o un particular.
Fuente: Diarioinformacion
Fecha: 22/08/2013
Instalación de una cámara en la puerta de un piso
Una vecina ha instalado por su cuenta una cámara en la mirilla de la puerta de su casa porque argumenta que le hacen daño a su puerta. Ha conseguido grabar al culpable. ¿Puede usar estas imágenes en su contra?
La imagen personal se considera un dato de carácter personal, tal y como lo establece el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (RDLOPD), así mismo la LOPD establece con carácter general que para el tratamiento de los datos personales (la imagen) se requiere el consentimiento del titular, esto es, el consentimiento de los que vayan a ser captados por esa cámara (los que pasen por el pasillo).
La Instrucción 1/2006 emitida por la Agencia Española de Protección de Datos, excluye expresamente su aplicación a imágenes obtenidas en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar.
Por tanto, en aquellos casos en los que la utilización de videoporteros se limite a su función de verificar de la identidad de la persona que llamó al timbre y a facilitar el acceso a la vivienda, no será de aplicación la normativa sobre protección de datos.
Sin embargo, si el servicio se articula mediante procedimientos que reproducen y/o graban imágenes de modo constante, y resultan accesibles -ya sea a través del Internet o mediante emisiones por la televisión de los vecinos-, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante, resultará de plena aplicación la Instrucción 1/2006.
Las imágenes solo pueden accederse de forma controlada en los términos para los que se recopilaron. Si la razón de las cámaras es la vigilancia, solo personal de seguridad privada, homologada ante la Dirección General de Seguridad (Ministerio del Interior), puede realizar dicha función. Si se va a acceder a las grabaciones, para esclarecer un hecho denunciable, lo mejor es denunciarlo, y solicitar a un juez permiso para acceder a las imágenes.
El Juzgador decidirá si le da validez o no a dicha prueba, pero estaría incumpliendo por otra parte lo previsto en la LOPD.
Fuente: El Derecho
Fecha: 29/07/2013
Liberbank deberá pagar una multa de 50.000 euros por infringir la Ley de Protección de Datos
La Sala de lo Contencioso de la Audiencia Nacional ha desestimado un recurso contencioso-administrativo interpuesto por Liberbank contra la resolución del director de la Agencia Española de Protección de Datos del 25 de octubre de 2011 que imponía a Caja Cantabria una multa de 50.000 euros por una infracción de la Ley Orgánica de Protección de Datos (LOPD).
En concreto, la Sala, en esta sentencia firme, considera probado que Caja Cantabria facilitó a la entidad encargada del fichero de solvencia una información relativa a datos personales de un particular, infringiendo el principio de calidad de los datos, pues lo hizo sin haber requerido previamente el pago al deudor --este particular-- y sin haberle advertido de que, en caso de no pagar, los datos correspondientes al impago podrían ser comunicados a ficheros de datos de solvencia económica.
Una particular presentó una denuncia contra Caja Cantabria el 29 de junio de 2010 por haber incluido sus datos de carácter personal en el fichero de solvencia patrimonial y crédito Badexcug sin requerimiento de pago previo.
En el mismo se registraron los datos personales de la mujer (nombre, apellidos y DNI), a instancias de la Caja, por un producto de póliza de crédito por importe de 55.056 euros y fecha de alta el 23 de agosto de 2009, sin que esta entidad haya acreditado que llevara a cabo con carácter previo a la inclusión el requerimiento de pago de esta deuda a la denunciante.
Se dictó entonces la sentencia que posteriormente ha recurrido Liberbank, que se subrogó en todos los derechos y obligaciones de Caja Cantabria tras la fusión.
Aunque la particular renunció a continuar con la denuncia presentada ante la AEPD, la Audiencia Nacional estima que este hecho no limita la potestad de este organismo para proseguir con el expediente sancionador.
Y señala que resulta "evidente" que Caja Cantabria ha cometido una infracción del principio de calidad del dato pues llevó a cabo el tratamiento de datos de carácter personal "inexactos, de forma que no correspondían con veracidad con la situación actual del denunciante", al haber comunicado los datos personales de la mujer al fichero de solvencia Badexcug, asociados a una deuda impagada por ésta, sin previamente haberla requerido el pago ni haberle advertido que los datos correspondientes al impago podrían ser comunicados a los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias.
Según la Audiencia, la Caja, en su condición de supuesto acreedor, es la responsable de que los datos proporcionados a las entidades encargadas de los ficheros de datos de solvencia económica, como Badexcug, sean exactos y veraces. Por tanto, "resulta responsable de la veracidad y calidad de los datos que hallándose en sus ficheros suministra para que se incluyan y mantengan en ficheros de solvencia".
Liberbank ha alegado que, tras la subrogación, debería imponerse la sanción propia de las infracciones leves, concretamente 900 euros, o, en su defecto, en grado mínimo al tratarse de un caso aislado, con ausencia de beneficio, falta de reincidencia e inexistencia de reincidencia.
Sin embargo, la Sala lo rechaza porque no se trata de un proceso de fusión por absorción, y se remite a la resolución de la Agencia que moduló la sanción teniendo en cuenta el carácter continuado de la infracción, la vinculación de la actividad de la entidad infractora con el tratamiento de datos de carácter personal y el volumen de negocio de la misma.
En consecuencia, estima que la sanción impuesta resulta "ponderada y proporcionada" a la gravedad de la infracción y la entidad de los hechos, sin razones que justifiquen su minoración.
Por todo ello, desestima el recurso contencioso administrativo y condena a costas a la demandante.
Fuente: Gentedigital
Fecha: 30/07/2013
Aclarando el asunto de Google y el derecho al olvido
¡Qué fácil es escribir sin haber profundizado suficiente ni tener criterio sobre el tema! Lees una nota de prensa, un par de artículos y te conviertes en experto. Me gustaría saber cuántos de esos periodistas se han leído el dictamen entero, la LOPD, la Directiva Europea, el proyecto de Reglamento, la jurisprudencia y las resoluciones de la AEPD.
zoom Logotipo de Google en la sede de la compañía en Bruselas.
Logotipo de Google en la sede de la compañía en Bruselas. Virginia Mayo | AP
Para empezar: el TJUE aún no se ha pronunciado, el Abogado General, Niilo Jääskinen, ha publicado sus conclusiones, que no vinculan al tribunal (que aún está deliberando). En fin, ya que han conseguido llamar la atención sobre el tema, que sirva de algo.
¿Se aplica a Google la normativa española de Protección de Datos? Google lleva años excusándose en que su domicilio social está en California. La AEPD dice que como los resultados de búsqueda y los anuncios dependen del lugar desde el que se accede al servicio, en la medida que Google Inc. es responsable del tratamiento de datos y tiene aquí un establecimiento para gestionar aquellos que se dirigen específicamente al ámbito geográfico español, está sujeta a la ley española. El señor Jääskinen también lo cree. Esta es la conclusión más importante y si el TJUE la recoge, habrá grandes cambios que afectarán a todas las empresas de Internet que eluden la normativa europea.
¿Es Google responsable de los contenidos que indexa? El buscador rastrea los sitios de internet para mostrar la información que contienen creando una red (índice) de enlaces pero sin almacenar la información. La responsabilidad por los contenidos que aparecen en los resultados de búsqueda es de quien los ha publicado y ante este hay que ejercer los derechos. La fuente original tendrá que evitar el rastreo o indexación de una información si esta vulnera derechos legítimos. El buscador será responsable sólo cuando no atienda a las instrucciones de la fuente sobre el uso que puede hacer de la información que publica. ¿Quién decide sobre las vulneraciones y conflictos de derechos? Los jueces, que para eso están, solo faltaría que Google se convirtiera en un tribunal internacional universal.
¿Existe el derecho al olvido? Existen derechos que defienden el respeto a la privacidad y el futuro Reglamento europeo habla de “derecho al olvido” para adaptarlos al entorno actual y a internet, y que sigan cumpliendo su función. El tratamiento de datos personales ajenos, indiscriminado y a perpetuidad tampoco es un derecho. Obviamente no hay un derecho al olvido generalizado, pues ningún derecho es absoluto, todos hallan su límite natural en otros derechos. Esa es la gracia y no es nada nuevo. Cuidado con hablar alegremente de censura y manipulación, esos derechos también sirven para corregir falsedades e inexactitudes antes de que se conviertan en Historia y se asuman como hechos irrefutables.
Fuente: Elperiodico.com
Fecha: 11/07/2013
Cumplir con la LOPD es fácil si sabes cómo
Hoy pocos dudan de la necesidad e importancia de proteger los datos de carácter personal. Todos a nivel particular reclamamos nuestro derecho a la privacidad y no deseamos que nuestros datos, nuestro nombre, nuestro teléfono, nuestra imagen sea utilizada por terceros para usos para los cuales no les hemos dado autorización.
Y si eso es así, si a título personal no deseas que tus datos sean utilizados para usos no autorizados, como Director, CEO, Gerente… de una empresa también debes respetar dicha privacidad. Debes hacerte algunas preguntas como: ¿estoy aplicando para los demás la misma medicina que quiero para mí?, ¿estoy respetando los datos personales de los demás o ¿cuando hablamos de negocio vale todo?
Muchas veces parece que acatar la LOPD es como la “pescadilla que se muerde la cola”: “es imposible cumplir con la ley de protección de datos. Si no te conozco no te puedo llamar, no te puedo enviar un correo, y si no te llamo ¿cómo te voy a conocer?”. Se trata de aplicar la lógica y el sentido común en nuestra acción comercial y, por supuesto, gastarnos un buen dinero para que nuestra empresa esté adecuada a la Ley, que al final todo el mundo tiene que acatar.
Dentro de este marco, en las próximas semanas, os contaremos en una serie de posts qué es la Ley Orgánica de Protección de Datos y qué tienes que hacer para cumplirla.
No pretendemos ser excesivamente rigurosos desde el punto de vista legal. Hablaremos desde el punto de vista del empresario, autónomo, profesional, intentando que nuestro lenguaje sea claro y con la única finalidad de aportar luz al que está en la oscuridad en estos temas. Y en aquellos aspectos que no tengamos claros, lanzaremos una pregunta al lector esperando que este entorno sirva de punto de debate para que todos podamos aprender, y en el que aquellos que se dediquen a esta materia profesionalmente aporten sus conocimientos.
El principio que queremos transmitir es que lo esencial no es acatar la Ley de Protección de Datos y adoptar las medidas para cumplir con ella y así evitarnos una multa, sino que lo verdaderamente importante es proteger al cliente. Como empresa de Contact Center donde realizamos multitud de campañas en las que se requiere contactar con muchas personas, debemos ser respetuosos y no invadir la intimidad de los demás. Aquí diríamos que no todo vale.
Vistos los preliminares vamos a entrar en materia…
Las empresas, empresarios y entidades privadas que deben manejar cotidianamente datos de sus miembros, clientes, trabajadores, proveedores y suministradores pueden tener la sensación de que la normativa en materia de protección de datos personales es una carga que conlleva gastos añadidos para cumplir una obligación legal que aparentemente no les aporta nada.
En realidad, la legislación sobre protección de datos personales favorece a todos, ciudadanos y empresas, ya que puede convertirse en un excelente argumento para mejorar la imagen, competitividad y rentabilidad de los negocios. Además su cumplimiento proporciona un mayor grado de confianza a los clientes, lo que puede ser valorado como un indicador de la serenidad y la calidad de la empresa o entidad privada.
Al mismo tiempo se obtiene el máximo partido de las infraestructuras y sistemas de almacenamiento de datos, ya que a menudo, se reúnen datos innecesarios u obsoletos y el volumen de información a gestionar puede hacer ineficiente el sistema.
Por otra parte, también se elimina el riesgo de multas derivadas de la infracción de la normativa o reclamaciones por daños y perjuicios.
Algunos aspectos básicos del derecho de protección de datos de carácter personal
1.- El derecho a la protección de datos de carácter personal es un mandato Constitucional, recogido en el artículo 18.4 de la constitución y en el que se indica literalmente “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
Pero la protección legal ya no se proyecta sólo, como prevé nuestra constitución, sobre los “riesgos o peligros” de la informática, sino sobre el ámbito del tratamiento de datos en sí mismo, entendido como la posibilidad que tiene un tercero de almacenar distintos datos que cruzados y unidos pueden revelar un determinado perfil ideológico o conductual que la persona desearía mantener en secreto y dentro de su ámbito de control, pero sin importar si el fichero en el que se almacenan o tratan datos está o no informatizado.
Por ello resulta más adecuado hablar hoy de un “derecho a la protección de datos personales” (informatizados o no informatizados) donde la protección se proyecta tanto en el ámbito del tratamiento como en el ámbito de la posterior cesión de datos, configurándose como un derecho fundamental de la persona que debe ser en todo caso respetado por todos.
2. Regulación básica del derecho a la protección de datos personales.
En España, la materia de protección de datos se regula enla LeyOrgánica15/1999 de 13 de Diciembre.
El desarrollo de la ley se encuentra, con carácter general, en las siguientes normas legales:
*Real Decreto 428/1993 de 28 de marzo (modificado Real Decreto 156/1996 de 2 de Febrero)
* Real Decreto 1332/1994 de 20 de Junio
*Real Decreto 994/1999 de 11 de Junio
*Real Decreto 1720/2007 de 21 de Diciembre, que aprueba el reglamento de desarrollo de la ley orgánica 15/1999 de 13 de diciembre
Además debe tenerse en cuentala Directiva2002/58/CE de 12 de Julio de 2002.
3. Ficheros sometidos a la normativa protección de datos personales.
La protección de datos afecta a todo fichero. Por fichero ha de entenderse todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso.
Tras la reforma de 1999 da igual que el fichero este informatizado o que se trate de un documento en soporte papel que permita el tratamiento de datos, eso sí debe contener datos de carácter personal.
4. Definiciones básicas de la protección de datos.
- Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
- Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
- Tratamiento de datos: operaciones y procedimiento técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
- Cesión de datos: toda revelación de datos realizada a una persona distinta del interesado.
- Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre su finalidad, contenido y uso del tratamiento.
- Encargado de Tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
- Fuentes accesibles al público o datos públicos: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencias que, en su caso, el abono de una contraprestación. Tienen consideración de fuentes de acceso público, exclusivamente el censo promocional, los repertorios telefónicos y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia a grupo. También tienen carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
Fuente:tu-voz
Fecha: 03/07/2013
Suscribirse a:
Entradas (Atom)
Entradas
