Abril 2014

Daemon4 - Servicios de Redes Backup Online y Seguridad

29 Abr Boletín LOPD Abril 2014

LA LOPD EN EL DÍA A DÍA

¿Qué es una persona identificada o identificable?

Un dato de carácter personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Los datos personales, permiten pues, identificar a una persona, así como revelar información de la misma.
Persona identificada: toda persona cuya identidad está determinada.
Persona identificable: toda persona cuya identidad pueda determinarse, ya sea directamente o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.
Vamos a matizar el concepto de identificable. Si recabamos imágenes a través de una cámara de vigilancia, las imágenes recogidas, pertenecen a personas, que podemos, o no, identificar. Si las imágenes se captan con una resolución tal que permitan identificar a una persona, ésta sería una persona identificable, y estaría dentro del ámbito de la ley, en caso contrario, no.

IMPORTANTE

Se debe realizar un análisis dentro de la empresa de los datos que se tratan para poder asignar correctamente el nivel de medidas de seguridad a aplicar.

SANCIONES DE LA AEPD

Sanción por carecer de medidas de seguridad

En la resolución R/01306 de la AEPD podemos ver la sanción que puede sufrir una entidad por no tener implantadas las medidas de seguridad exigidas.
Con fecha 29 de marzo de 2010 tiene entrada en la AEPD un escrito de D. A.A.A., en el que declara que, la empresa HIPERCOR, S.A., no cuenta con las medidas de seguridad oportunas con relación a información de datos clínicos, ya que desde dos terminales ubicados en el muelle de recepción de mercancías, donde tiene su puesto de trabajo, se pueden visualizar, entre otros, análisis clínicos de trabajadores de la empresa.
Durante la visita de las inspectoras de la AEPD, el denunciante accede a un equipo informático que está en el muelle, observándose que aunque el sistema pide un usuario y contraseña para acceder, el usuario sale ya por defecto, y la contraseña es la misma que el nombre de usuario.
Se puede además comprobar que desde ese equipo, a través de la red local es posible acceder a carpetas que están situadas en el equipo de la Jefa de Recursos Humanos del centro, en concreto es posible acceder a una carpeta denominada “Servicio Médico” y que contiene los resultados analíticos de los empleados del centro.
A las 15:30 horas, las inspectoras de la Agencia y los representantes de la entidad, se trasladan al muelle, verificándose que ha sido subsanado el error.
Resultado: Sanción de 20.000 € por vulneración del artículo 9.1 de la LOPD en relación a las medidas de seguridad.

Las medidas de seguridad, además de figurar en el documento de seguridad, han de implantarse

 

IMPORTANTE

El asesoramiento de un profesional en la aplicación de las medidas de seguridad es sumamente importante para una correcta implantación.

LA AEPD ACLARA

Tratamiento de datos de menores de edad

El informe 0046 de la AEPD resuelve la consulta planteada sobre el tratamiento de datos personales de los menores de edad a los que se facilita una tarjeta de fidelización.
De dicho informe jurídico se extrae lo siguiente:
a) Si es un menor de 14 años ó incapaz, el consentimiento ha de ser otorgado por los padres.
b) La cláusula informativa debe estar elaborada en un lenguaje comprensible a la edad del menor.
c) No se podrán recabar del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos, o cualesquiera otros, sin el consentimiento de los titulares de tales datos (únicamente podrán recabarse los datos de la identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado a).
d) Corresponde al responsable del fichero articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

IMPORTANTE

Hay que extremar las cautelas cuando se recogen datos de menores, en especial la obtención del consentimiento

EL PROFESIONAL RESPONDE

¿Qué se debe hacer, de cara al cumplimiento de la LOPD, CUANDO UN TRABAJADOR SE VA DE LA EMPRESA?

Para cumplir correctamente la LOPD, cuando se va un trabajador a la entidad, debemos realizar las siguientes acciones:
1. Eliminar o marcar la fecha de baja de este usuario en la lista de usuarios y accesos autorizados, de forma que ya no conste en el documento de seguridad como usuario autorizado para acceder a los ficheros con datos personales.
2. Eliminar o bloquear el identificador que tenía asignado para el acceso a los sistemas.
3. Dar de baja las autorizaciones que tuviera ese trabajador para sus funciones:
a. Salida de soportes y/o documentos fuera de las instalaciones.
b. Uso de portátiles.
c. Trabajo fuera de los locales.
d. Dispositivos a los que tiene acceso.
e. Etc.
4. Cancelar todos los privilegios de ese trabajador así como las conexiones remotas que tuviera habilitadas.

IMPORTANTE

Hay que establecer protocolos de actuación que contemplen las acciones a realizar cuando un trabajador abandona la entidad.

Read More

25 Abr Boletín LOPD Marzo 2014

LA LOPD EN EL DÍA A DÍA

Las funciones del responsable de Seguridad

Estas son las funciones que debe realizar del Responsable de Seguridad:

 

Coordinar la puesta en marcha de las medidas de seguridad, colaborar con el responsable del fichero en la difusión del documento de seguridad y cooperar con el responsable del fichero controlando el cumplimiento de las mismas.

 

Analizar las incidencias registradas, tomando las medidas oportunas en colaboración con el responsable del fichero.

Comprobar al menos de forma semestral, la existencia de copias de respaldo que permitan la recuperación del Fichero, realizando una prueba de restaurado que verifique la correcta definición de los procedimiento y proceso de recuperación.

 

Verificar, al menos con una periodicidad trimestral, la veracidad del inventario de soportes, así como el registro de entradas y salidas de soportes y documentos.

 

Mantener actualizado el Documento de Seguridad.

 

Realizar al menos cada dos años una auditoría de los ficheros de nivel medio y alto

IMPORTANTE

 

Lo ideal es que el Responsable de Seguridad sea una persona (o varias) con conocimientos jurídicos en protección de datos, y asesoradas si es necesario, por el personal técnico para la implantación correcta de las medidas de seguridad que exige la LOPD.

SANCIONES DE LA AEPD

Comunidad de propietarios no tiene los ficheros inscritos

 

En el procedimiento sancionador PS/00657/2009 de la AEPD podemos ver cómo cualquier persona puede denunciar a una entidad por no tener notificados los ficheros a la Agencia Española de Protección de Datos.

 

Según los hechos, tuvo entrada en la AEPD un escrito de una persona que denuncia a la comunidad de propietarios PISCINA URBANIZACION LOS ALMENDROS por presunta vulneración de la LOPD.

 

A la vista de la denuncia, la Subdirección General de Inspección realizó una consulta al Registro General de Protección de Datos para ver si la comunidad tenía los ficheros inscritos, comprobándose que en esa fecha dicha entidad no tenía los ficheros inscritos.

 

A la vista de la comprobación efectuada en el Registro General de Protección de Datos, el Director de la AEPD acordó iniciar un Procedimiento Sancionador por presunta infracción del art. 26 de la LOPD, notificando dicho Acuerdo de Procedimiento Sancionador a la comunidad de propietarios.

 

Dicha comunidad reconoció su responsabilidad respectos a dichos hechos, dando lugar a la resolución del procedimiento, con la imposición de la sanción que proceda.

 

 

Resultado: sanción de 601,01€ por infracción del artículo 26 de la LOPD, tipificada como leve.

IMPORTANTE

 

Como hemos visto en este caso, cualquier persona puede denunciar a una entidad por presunta vulneración de la normativa de protección de datos, iniciándose la apertura de un procedimiento de inspección por parte de la Agencia Española de Protección de Datos.

LA AEPD ACLARA

Publicar datos de trabajadores en internet

 

El informe 0039/2010 de la AEPD resuelve la consulta planteada sobre si es posible la publicación en la página web de la consultante de los datos personales de sus empleados, la opinión de sus clientes sobre el servicio prestado, así como su difusión por estos clientes en redes sociales, en relación a lo dispuesto por la LOPD y el RD1720/2007. Plantea también si el consentimiento de sus empleados podría efectuarse sin cumplir todos los requisitos exigidos por dichas normas.

 

De dicho informe jurídico se extrae lo siguiente:

 

  • El consentimiento para la comunicación masiva por Internet de los datos de sus empleados, incluidas las evaluaciones sobre los mismos, no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre.Por ello, el gabinete jurídico entiende que la comunicación de los datos de empleados en Internet, no puede ampararse en el consentimiento del trabajador, en el ámbito de la relación laboral.

  • El cliente de la consultante usuario de redes sociales y otros servicios de Internet, tendría que tener en cuenta que la publicación de contenidos con información y datos respecto de terceros no puede ser realizada si éstos no han autorizado expresamente su publicación.

    A TENER EN CUENTA

    Una cesión no consentida de datos personales que no esté bajo el amparo de ninguna de las excepciones que marca la Ley es una infracción muy grave, con sanción de hasta 600.000€

    EL PROFESIONAL RESPONDE

    ¿Dando a firmar el contrato al encargado del tratamiento, ¿ya no tengo que preocuparme de lo que él haga?

    Hay un artículo en el RD1720/2007 que pasa casi desapercibido pero que es de una enorme importancia a la hora de elegir el encargado del tratamiento por parte del responsable del fichero:

    Art. 20.2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

    Es decir, que antes de seleccionar un encargado del tratamiento, como el asesor fiscal, empresa de mantenimiento informático, Hosting, etc. debemos comprobar –en la medida de lo posible- que está cumpliendo la LOPD.

    Pero, ¿y qué puede hacer el responsable para comprobar que el encargado cumple con la normativa vigente en protección de datos personales?

    Pues fundamentalmente dos cosas:

  • Comprobar que tiene notificados los ficheros a la AEPD a través de su página web (www.agpd.es).

  • Solicitarle un documento firmado y sellado por el encargado en el cuál manifieste de forma expresa que dispone de Documento de Seguridad y cumple con normativa vigente en protección de datos personales.

     

    Constituye una infracción leve la transmisión de datos a un encargado del tratamiento sin dar cumplimiento a los deberes que establece el art. 12 de la LOPD, con sanción de entre 900 y 40.000€.

 

 

 

 

 

 

 

 

Read More

Utilizamos cookies propias y de terceros para recoger información analítica sobre el uso de la web, si continúa navegando, acepta nuestra política de cookies, su instalación y uso. Puede cambiar la configuración u obtener más información sobre las cookies aquí.

ACEPTAR
Aviso de cookies