LSSI-LOPD

15 Jun LA AEPD ACLARA

Grabación de asambleas en una asociación

El informe jurídico 0112/2009 de la AEPD resuelve la consulta planteada sobre si la grabación con medios audiovisuales de las Asambleas que celebre una asociación o una Federación, es conforme con la LOPD.
De dicho informe jurídico se extrae lo siguiente:

a) La LOPD en su artículo 3c) considera la “grabación” como un tratamiento de datos de carácter personal sometido pues a la Ley.

b) El derecho a la protección de datos personales es un derecho fundamental, siendo esencial conocer la finalidad y la proporcionalidad en el tratamiento de dichos datos.

c) El responsable del fichero, deberá obtener el consentimiento del interesado para el tratamiento o cesión de los datos; de informarle sobre los derechos que le asisten; de la identidad y dirección del responsable y del uso que se va a dar a esos datos.

d) Existen una serie de excepciones a la necesidad de consentimiento para el tratamiento, entre ellas cuando los datos se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

CONCLUSIÓN: La grabación de voces o imágenes requerirá el consentimiento de los interesados, salvo que dicho tratamiento conste en los estatutos de la Federación, ya que el asociado por el hecho de adquirir tal condición, deberá conocerlos y aceptarlos.

IMPORTANTE

La incorporación de una persona a una asociación o federación implica la creación de una relación jurídica entre ambos, cuyos términos serán fijados por los propios Estatutos.

Read More

12 Jun SANCIONES DE LA AEPD

Sanción por envío masivo de correos comerciales

En el procedimiento sancionador PS/00454/2014

de la AEPD podemos ver la sanción que sufre una compañía aérea a la que se solicitó el cese del envío de publicidad comercial, continuando el denunciante recibiendo correos electrónicos, a pesar de que la entidad le confirmó la baja en los mismos.

Según los hechos, notificado el acuerdo de inicio del procedimiento sancionador, la entidad alegó que el envío del correo electrónico objeto de denuncia se debió a una incidencia en el sistema de envío de newsletter que fue corregido de forma urgente el día en que fue detectado.

En fechas posteriores, la entidad remitió nuevos correos electrónicos comerciales a la dirección de correo del denunciante.

Ante el requerimiento de la AEPD, la entidad emisora de los correos manifiesta la ausencia de intencionalidad y de culpabilidad en su conducta, ya que debido a una deficiencia técnica, la solicitud de oposición no había sido correctamente ejecutada por el sistema.

A pesar de no existir dolo por la imputada sí existe responsabilidad en la comisión de la infracción ya que la imputada no adoptó todas las medidas necesarias para tramitar las bajas en el envío de comunicaciones publicitarias.

Resultado: Sanción de 3.500 € por una infracción del artículo 21.1 de la LSSI, tipificada como leve.

Read More

10 Jun LA LOPD EN EL DÍA A DÍA

Qué son ficheros de morosos

Los “ficheros de morosos” son listas automatizadas con datos personales que permiten a las entidades financieras, compañías de telecomunicaciones, editoriales, etc… conocer la solvencia de sus clientes y potenciales clientes; quiénes de ellos han incurrido en morosidad y en qué cuantía con el fin de evitar posibles riesgos.

Estos ficheros se encuentran regulados en el artículo 29.2 de la LOPD y 37.3 del RDLOPD.

Para que una empresa pueda incluir datos en un fichero de morosos, han de darse los siguientes requisitos:

.Que exista una deuda cierta, vencida y exigible que haya resultado impagada.

• Que no hayan transcurrido más de seis años desde la fecha en la que tenía que haberse pagado la deuda o desde la fecha en la que vencía esa obligación o del plazo concreto si se trataba de una deuda de vencimiento periódico.

• Requerimiento previo de pago a quien corresponde pagar la deuda.

• Deberá notificarse a los interesados en un plazo de 30 días desde su registro, indicando los datos incluidos y su derecho a recabar información sobre los mismos.

IMPORTANTE

No hay que confundir los “ficheros de morosos” regulados por el artículo 29 de la LOPD con los datos que una entidad trata referentes a sus clientes deudores.

 

Read More

08 Jun EL PROFESIONAL RESPONDE

¿Cuánto tiempo he de conservar los Datos Personales?

El tratamiento de los datos personales se rige entre otros, por el principio de calidad de datos establecido en el artículo 4 de la Ley 15/1999, dentro del cual, se incluye el deber de mínima conservación, estableciendo que los datos de carácter personal recogidos para su tratamiento habrán de ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No obstante, el artículo 16.5 de la citada Ley, prevé que dichos datos deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
Concluida la relación negocial, procede la cancelación de los datos que deberá realizarse mediante el bloqueo de los mismos, quedando sólo a disposición de las Administraciones públicas, Jueces y Tribunales, para atender las posibles responsabilidades derivadas de dicha relación durante el plazo de prescripción de aquéllas.
Finalizado dicho plazo de prescripción, los datos deberán ser destruidos, pudiendo conservarse disociados previamente o si se decide el mantenimiento íntegro de los mismos con carácter excepcional atendido a los valores históricos, estadísticos o científicos según la legislación específica.

A TENER EN CUENTA

No existe un plazo fijo estándar definido por Ley para la conservación de los datos personales. Depende del tipo de datos almacenados y su finalidad.

Read More

05 Jun LA AEPD ACLARA

Naturaleza pública o privada de los ficheros

El informe 0068/2010 de la AEPD resuelve la consulta planteada acerca de la naturaleza pública o privada de los ficheros de Colegios Profesionales o Consejos Generales.

Para el ejercicio de su actividad, estos entes necesitan tratar datos personales, por lo que dependiendo de si la actividad que desarrollen es administrativa o privada, podrán tener ficheros de dos naturalezas, públicos o privados.

• Serán ficheros de titularidad pública sujetos al régimen establecido en el art. 20 y ss. de la LOPD, y 52 del RDLOPD, aquellos creados como consecuencia del ejercicio de potestades o competencias públicas o administrativas. Por ejemplo, el fichero COLEGIADOS, los relativos al ejercicio de la potestad disciplinaria o el de visados colegiales.

• Serán ficheros de titularidad privada, sujetos al régimen del art. 25 de la LOPD, los creados con la única finalidad de llevar a cabo la gestión interna del ente o de adoptar mecanismos que faciliten el desempeño de la profesión colegiada cuando su adopción no implique el ejercicio de potestades administrativas ni lleve aparejada la existencia de un acto administrativo. Por ejemplo, el fichero LABORAL, CLIENTES o CURRICULUM.

A TENER EN CUENTA

Los ficheros de estas entidades, serán públicos o privados según la naturaleza pública o privada de las finalidades que justifiquen su tratamiento.

 

Read More

04 Jun SANCIONES DE LA AEPD

Sanción por no atender el requerimiento del Director de la AEPD

En el PS/00331/2013 de la AEPD, vemos como la Agencia puede apercibir y sancionar a un particular por colocar un sistema de videovigilancia en su vivienda captando imágenes de la vía pública, incumpliendo lo previsto en el artículo 6.1 de la Ley Orgánica 15/1999.

Según los hechos, el Director de la AEPD apercibió al denunciado para que en el plazo de un mes, justificase la retirada de la cámara de la fachada de su vivienda o su reorientación, de forma que sólo captase su espacio privativo y advirtiéndole que en caso contrario, se procedería a acordar la apertura de un procedimiento sancionador.

Ante la falta del cumplimiento requerido, se inicia un Expediente de Actuaciones Previas de Investigación por el Director de la AEPD del que se desprende que el denunciado no ha adoptado las medidas correctoras solicitadas haciendo caso omiso, y ante esta falta de atención al requerimiento del Director de la AEPD, se resuelve imputar al denunciado por no atender al requerimiento de la autoridad en materia de Protección de Datos.

Resultado: multa de 1.000 € por infracción del artículo 37.1.f) de la LOPD, tipificada como grave.

IMPORTANTE

La captación de imágenes de la vía pública para garantizar la seguridad y la prevención de delitos, corresponde en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado.

Read More

03 Jun LA LOPD EN EL DÍA A DÍA

Prestación de un servicio de alojamiento web en el
extranjero

A la hora de contratar el hosting por parte de una entidad, es necesario conocer el lugar donde se encuentran físicamente los servidores donde va a estar alojada la información.
La Ley Orgánica 15/1999 considera esta prestación de servicios como un encargo del tratamiento, y si el tránsito de datos se realiza fuera de la Unión Europea (salvo los supuestos previstos en la Ley), una Transferencia Internacional de Datos.
Para que dicha prestación sea conforme a la Ley Orgánica de Protección de Datos, el Responsable de los mismos, deberá:
• Cumplir con la LOPD, informando a la AEPD en la inscripción de los ficheros de dicha circunstancia, indicando el país de destino y las categorías de destinatarios.
• Solicitar la Autorización previa del Director de la AEPD.
• Acreditar que se cumplen las garantías adecuadas aportando el contrato de encargado celebrado en los términos previstos en las Decisiones de la Comisión Europea 2001/497/CE y 2004/915/CE que modifica la anterior.

IMPORTANTE

Lo recomendable para contratar la prestación de este tipo de servicios de almacenamiento de datos es realizarlo con empresas ubicadas en España.

Read More
Protección de datos

10 Mar EL 95% de las pymes podrían ser multadas con 300.000 €

El Sector del mueble especialmente sensible a este hecho

Se debe al incumplimiento de la LOPD, según Equal y la Asociación Profesional de la Privacidad de Castilla La Mancha

 

Daemon4 pone a su disposición su servicio LOPD MANAGER para auditar su empresa e implantar la Ley Orgánica de Protección de Datos, especialmente en el sector del Mueble (fabricación, almacenaje, distribución, logistica…).

Un 95% de las pymes incumplen la ley en cuanto a la privacidad de datosy podrían ser sancionadas con multas de hasta 300.000 euros, según un dato facilitado por la Asociación Profesional de la Privacidad de Castilla La Mancha y que recoge Equal.

Es conocido que todas las empresas, profesionales y administraciones publicas que tengan la titularidad de datos de carácter personal han de cumplir una serie de exigencias que recoge la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Sin embargo aún siguen siendo muchas las compañías que desconocen su funcionamiento.
Nuestros clientes del sector del mueble los últimos años nos solicitan a Daemon4 el servicio de auditoría e implantación de la famosa ley. Se va tomando consciencia poco a poco de la necesidad de tener resuelta esta faceta relativa a los datos personales, y quién mejor para solucionar este problema que su empresa consultora en tecnologías de la información.

La mayoría de las PYMES (95%) incumplen la ley con faltas catalogadas como graves o muy graves según el baremo que recoge la LOPD. En realidad el 70% de las infracciones cometidas cuentan con la calificación de graves o muy graves. Las sanciones oscilan en el caso de las primeras entre los 40.001 y los 300.000 euros, mientras que las muy graves van desde los 300.001 hasta los 600.000 euros.
Estos datos se extraen de un estudio realizado por la Asociación Profesional de la Privacidad de Castilla La Mancha. Se contó para ello con la colaboración de 200 compañías.

Estas cifras se consideran extrapolables al resto de las empresas que hay en España, incluido el sector del mueble, según los estudios que tiene la AEPD. Advierten de la necesidad de cumplir con la normativa para evitarse en el futuro posibles multas económicas. Desde Equal apuntan que en la mayoría de las ocasiones, “esas infracciones se producen como consecuencia de actuaciones negligentes ocasionadas por la falta de conocimiento de la normativa o por no haber adoptado las medidas impuestas por la misma”. Advierten de que el desconocimiento de una ley “no exime de su cumplimiento”.

Por ello, y desde hace años, a petición de nuestros clientes, en Daemon4 ofrecemos especialmente para el Sector del Mueble  (fabricación, almacenaje, distribución, logistica…) nuestro servicio de auditoría en materia de protección de datos, realizándole la implantación de la ley en su empresa y facilitando toda la documentación física necesaria, comunicando los ficheros de carácter personal a la Agencia Española de Protección de Datos (AEPD), generando el documento de seguridad de su empresa y dando de alta en nuestra plataforma virtual “LOPD MANAGER” toda su documentación para poder actualizarla y realizar auditorías de la mejor forma posible.

No se arriesgue a padecer las duras sanciones arriba mencionadas y póngase en contacto con nosotros.

Read More
Daemon4 Servicio Asesoría LOPD

24 Feb EL PROFESIONAL RESPONDE

¿Es necesario añadir la cláusula informativa en las nóminas de los empleados?

El artículo 5.1 de la LOPD establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de al menos:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
c) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Si además, los datos de los empleados van a ser cedidos, o comunicados a otra entidad, deberá informarse también de a quién se van a ceder y la finalidad de dicha cesión.
Por tanto, habrá que incluir la cláusula informativa bien en el contrato, en la nómina o en cualquier otro documento que se le entregue al empleado, (no siendo obligatorio que aparezca en todos ellos), y en aquellos en donde se le recojan datos personales, de forma que el empresario informe en todo momento al trabajador de los extremos señalados anteriormente y, llegado el caso, pueda demostrar a la AEPD que ha cumplido con el deber de información exigido por la Ley.

                                   IMPORTANTE

Todos los formularios vacíos donde se recojan datos personales deben contener la cláusula legal informativa.

Read More
qode interactive strata

17 Feb LA AEPD ACLARA

Quién debe cumplir con la LSSI?

El informe Jurídico 0083/2014

de la AEPD aclara cuál es el ámbito subjetivo de aplicación del artículo 22.2 de la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de comercio electrónico (LSSI), cuestionándose si este se aplica sólo a los prestadores de servicios de la sociedad de la información o a cualquier servicio de comunicaciones electrónicas que instale cookies.
El precepto comienza delimitando quiénes serán los obligados por la norma que podrán utilizar dispositivos de almacenamiento y recuperación de datos, hablando de “los prestadores de servicios”.

El Anexo c) de la LSSI define al prestador de servicios como la “persona física o jurídica que proporciona un servicio de la sociedad de la información”, y por servicio de la sociedad de la información el Anexo a) entiende “todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario”.

El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

                                IMPORTANTE

Un servicio o página web está incluido dentro del ámbito de aplicación de la LSSI si constituye una actividad económica para su prestador (ej: publicidad).

 

Read More
Daemon4 - Software - ERP - lopd

10 Feb SANCIONES DE LA AEPD

La AEPD multa a “El Cobrador del Frac” con 50.000 euros

En el procedimiento sancionador PS/00163/2014,

la Agencia Española de Protección de Datos (AEPD) sanciona con sendas multas de 50.000 euros a la entidad El Cobrador del Frac como gestor del cobro, y a Gestión y Recuperación M-1 como responsable de los ficheros por una infracción del artículo 9 de la Ley Orgánica de Protección de Datos (LOPD), el cual garantiza “la adopción de las medidas necesarias para salvaguardar los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado”.

La resolución de la Agencia de Protección de Datos, entiende que El Cobrador del Frac, colocó un cartel en el portal del acreedor al que reclamaba la deuda, en el que se desvelaba su situación de morosidad poniéndolo en conocimiento de terceras personas.
Llama la atención de la sanción, que el propio denunciante se desdijo de su demanda mediante un escrito, no considerando vulnerada su privacidad y honor. Sin embargo, entiende la AEPD que el «desistimiento, la renuncia o el retracto negando el afectado lo manifestado en su escrito de denuncia, resulta irrelevante a los efectos estudiados».
Resultado: Multa a El Cobrador del Frac, S.A., y a Gestión y Recuperación M-1 de 50.000 € según lo establecido en el artículo 45.4 de la Ley Orgánica de Protección de Datos por una infracción tipificada como grave.

                              IMPORTANTE

Tanto responsable del fichero como encargado del tratamiento deberán adoptar las medidas que garanticen la seguridad de los datos personales.

Read More
Daemon4 - Formación Cursos

03 Feb LA LOPD EN EL DÍA A DÍA

Comunicación de datos entre empresas: ¿cesión o encargo?

Es práctica habitual entre empresas la comunicación de datos entre ellas: para contratar la gestión de la contabilidad o las nóminas con la asesoría; informar de la situación de los trabajadores a la contratista; compartir la base de datos de clientes de un grupo de empresas, etc…
Todas ellas, tienen en común la transmisión de datos entre entidades. Sin embargo, de cara a la LOPD no se gestionan de igual forma. Hemos de distinguir dos figuras bien distintas:
Habrá cesión o “comunicación de datos”, según el artículo 11 de la LOPD, cuando la empresa responsable de los datos personales, los cede a otra para una finalidad concreta o de modo general, obligándose pues quien los recibe a observar las disposiciones de la Ley, convirtiéndose así también en Responsable de los datos.
Para que la cesión sea lícita, deberá recogerse el consentimiento informado previo del titular de los datos.
Por el contrario, habrá encargo del tratamiento, según el artículo 12 de la citada Ley, cuando quien recibe los datos sólo pueda utilizarlos de acuerdo a las instrucciones dadas por el Responsable del fichero para la prestación de un servicio. En este caso, la relación entre ambas habrá de regularse a través de un contrato.

                                 IMPORTANTE

En la transmisión de datos entre entidades, habrá que diferenciar la mera cesión o comunicación de datos de un encargo del tratamiento.

Read More
Daemon4 - Servicios Varios b-n

30 Ene EL PROFESIONAL RESPONDE

¿Puedo tener varios Documentos de Seguridad?

Tal y como establece el RD1720/2007, el responsable del fichero o tratamiento, deberá elaborar un Documento de Seguridad que recogerá las medidas de índole técnica y organizativas acordes a la normativa de seguridad vigente, y será de obligado cumplimiento para el personal con acceso a los sistemas de información

El Documento de Seguridad podrá ser único y que comprenda todos los ficheros y tratamientos, o elaborar distintos documentos individualizados por cada fichero o agrupando varios según las características de la organización.
De esta forma, se podrán elaborar documentos:

Por fichero o tratamiento.
Por áreas funcionales.
Por áreas geográficas.
Por sistemas de tratamiento.

En todo caso, el Documento de Seguridad tendrá carácter de documento interno de la organización, y se puede elaborar con el criterio que mejor convenga, pero no podemos olvidar que debe estar actualizado en todo momento.

Cuanta más dispersión exista, mayor dificultad presentará su actualización.
El Documento de Seguridad deberá estar a disposición de la AEPD en caso de que llegase a requerirlo.

                                       IMPORTANTE

El Documento de Seguridad debe ser “manejable”, ya que exige de una actualización regular.

 

Read More
Solicite a nuestros técnicos asistencia remota.

26 Ene LA AEPD ACLARA

Comunicaciones de datos en accidentes

El informe 0411 de la AEPD resuelve la consulta planteada sobre diversas dudas en relación con la aplicación de la LOPD a las comunicaciones de datos relativos a accidentes de tráfico a las compañías aseguradoras o abogados defensores de los implicados en ellos.

De dicho informe jurídico se extrae lo siguiente:

a) No será preciso el consentimiento de los interesados para que puedan cederse los datos relativos a los accidentes de tráfico por la policía local a las compañías aseguradoras, ya que las normas legales examinadas ampararían la cesión inconsentida, tal y como dispone 11.2.a) de la LOPD, en cuanto, como se señala en la Resolución transcrita, dichas compañías deben recabar y conservar la información necesaria en relación con la indemnización que debe abonarse a terceros como consecuencia de un seguro de responsabilidad civil.

b) La cesión de los datos referidos al accidente a los particulares o sus representantes se encontraría habilitada por lo dispuesto en el artículo 11.2.a de la LOPD sin precisar el consentimiento del afectado, dado que existen dos normas con rango de Ley que dan cobertura al acceso por el particular a los datos necesarios para exigir, mediante el ejercicio de una acción directa, el abono de la indemnización que proceda.

c) Respecto a qué datos pueden comunicarse, deberá limitarse a los datos que sean necesarios, en cada caso, en relación con las finalidades que justifican y habilitan dicha comunicación.

                              IMPORTANTE

El envío de datos de nivel alto por medios telemáticos ha de hacerse cifrando dichos datos.

Read More
q

19 Ene SANCIONES DE LA AEPD

Sanción por facilitar número de teléfono

En el procedimiento sancionador PS/00746 de la AEPD podemos ver la sanción que puede sufrir una entidad por facilitar un número de teléfono de un asociado a otro sin obtener previamente su consentimiento para ello.

Con fecha 15/07/2009, tuvo entrada en esta Agencia Española de Protección de Datos un escrito de D. C.C.C., en el que denuncia a la entidad Real Club Náutico de Gran Canaria (en lo sucesivo CLUB NÁUTICO), al que pertenece en calidad de socio, por la indebida utilización de su dato personal relativo al número de telefonía móvil, que, en fecha 13/10/2008, fue facilitado sin su consentimiento por el Presidente de dicha entidad a otro socio, con el propósito de que éste contactase con el denunciante para resolver unos incidentes personales acontecidos en el mencionado Club, según consta en la comunicación que el citado Presidente le remitió en fecha 08/06/2009, de la que aporta copia.
Durante la inspección, se pudo probar que el dato personal del denunciante relativo a su número de telefonía móvil, en fecha 13/10/2008, fue facilitado sin su consentimiento por el Presidente del CLUB NÁUTICO a otro socio, con el propósito de que éste contactase con el denunciante para resolver unos incidentes personales acontecidos en los locales del mencionado Club.

Resultado: Sanción de 601,01 € por vulneración del artículo 4.2 de la LOPD, relativo a la calidad de los datos, y en concreto a la utilización de los mismos para finalidades incompatibles con aquellas para las que los datos han sido recogidos.

                                   IMPORTANTE

Antes de facilitar a otro cualquier dato personal de un individuo, hemos de preguntarnos si podemos (y debemos) hacerlo.

 

Read More
q

12 Ene LA LOPD EN EL DIA A DIA

Cómo proteger el acceso a los datos en formato automatizado (parte I)

El responsable del fichero debe establecer e implantar mecanismos que impidan el acceso por el personal no autorizado a los ficheros.
En el caso de ficheros automatizados, debe establecer mecanismos de seguridad con el criterio de “todo lo que no está explícitamente autorizado, está prohibido”.
Para ello, se debe seguir una política de “arriba-abajo”, es decir, protegiendo el acceso al servidor y sus recursos, seguir con las aplicaciones de gestión utilizadas y terminar protegiendo el acceso a los puestos de trabajo.
Proteger el acceso al servidor
Proteger el acceso físico: Se debe situar el servidor en una sala cerrada con llave o algún otro mecanismo similar. Únicamente debe disponer de la llave el personal informático debidamente autorizado.
Proteger el acceso lógico: Se debe proteger el acceso al sistema operativo del servidor. Se debe eliminar o proteger con contraseña fuerte todas las cuentas que se crean por defecto, asegurándonos de que no queda ninguna sin proteger.
(Continuará)

                                 IMPORTANTE

Las cuentas por defecto, con contraseñas conocidas, son las que suelen aprovechar terceras personas para acceder a los recursos no autorizados.

Read More
Protección de datos

24 Dic EL PROFESIONAL RESPONDE

¿Qué he de hacer para poder publicar los datos de mis clientes en mi pagina web?

Un profesional que presta servicios de coaching quiere publicar en su página web los datos personales de sus clientes, junto con el servicio que les ha prestado y los logros que les ha ayudado ha alcanzar con el fin de obtener más credibilidad y captar más clientes.
Para ello, como es lógico, consulta antes de hacer nada a su consultor de protección de datos.
Y esto es lo que le responde:

a) La publicación de los datos personales de sus clientes en internet implica la existencia de una cesión de datos de carácter personal.

b) Toda cesión de datos debe obtener el consentimiento previo del interesado salvo que se dé cualquiera de los supuestos del artículo 11.2 de la LOPD.

c) En este caso en concreto, ha de obtener previamente el consentimiento de los clientes cuyos datos quiere publicar, advirtiendo en dicho consentimiento que el cliente tiene el derecho de revocar, en cualquier momento, el consentimiento que está otorgando.

d) El sitio web que utiliza para dar a conocer su actividad y captar clientes debe estar correctamente adecuado a la LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).

IMPORTANTE

La cesión de datos sin el necesario consentimiento es una de las infracciones más graves en el cumplimiento de la LOPD.

Read More

17 Dic LA AEPD ACLARA

Medidas de seguridad y tarjetas de implante

El informe 0410 de la AEPD resuelve la consulta planteada sobre el nivel de seguridad debe aplicarse a un fichero que contiene los ejemplares de las tarjetas de implantación, cumplimentados de conformidad con lo previsto en el artículo 33 del Real Decreto 1591/2009, de 16 de octubre, por el que se regulan los productos sanitarios.

De dicho informe jurídico se extrae lo siguiente:

a) Las medidas de nivel alto se aplicarán, entre otros, en los siguientes ficheros o tratamientos de datos de carácter personal: Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

b) Son datos de salud “las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.”

c) Según señala la legislación, la tarjeta de implantación incluirá al menos el nombre y modelo del producto, el número de lote o número de serie, el nombre y dirección del fabricante, el nombre del centro sanitario donde se realizó la implantación y la fecha de la misma, así como la identificación del paciente (documento nacional de identidad, número de pasaporte), y será cumplimentada por el hospital tras la implantación.

d) Por tanto, deberán de aplicarme a este fichero medidas de seguridad de nivel alto.

IMPORTANTE

Una correcta identificación del nivel de seguridad de los ficheros que se tratan es la base de la implantación de la LOPD en una organización.

 

 

Read More

10 Dic SANCIONES DE LA AEPD

Sanción por envío de comunicaciones comerciales por mail

En el procedimiento sancionador PS/00161/2014 de la AEPD podemos ver la sanción que puede sufrir una empresa por enviar correos comerciales no deseados a una dirección de correo.

Según se detalla en el procedimiento, con fecha de 10 de febrero de 2014 tiene entrada en esta Agencia un escrito de D.D.D. en el que declara: <<Reiteración de envíos de publicidad no autorizada incluso habiendo solicitado la baja y confirmado por ellos mismos.>>.

El denunciante aportó como prueba un total de siete correos remitidos por la empresa denunciada. En algunos de los correos no constaba un medio de oposición o baja para la recepción de comunicaciones comerciales.

Solicitada información a R Cable y Telecomunicaciones Galicia S.A. acerca del titular de la dirección IP I.I.I., la entidad informa que dicha dirección estaba asignada al denunciado en los días y horas en que fueron emitidos los mensajes.

En la inspección quedó acreditado que la empresa denunciada remitió siete comunicaciones comerciales por medios electrónicos sin la autorización previa y expresa del destinatario y sin acreditar la existencia de una relación comercial previa de servicios similares a los ofrecidos en los correos. Asimismo no consta en los correos electrónicos de fechas 10/02/2014 y 6/03/2014 un medio de oposición o baja para la recepción de comunicaciones comerciales, tal como exige el último párrafo del art. 21.2 LSSI.

Resultado: sanción de 6.000 € por infracción del artículo 21 de la LSSI, tipificada como leve.

IMPORTANTE

Las infracciones de la LSSI es uno de los motivos más frecuentes de sanción por parte de la Agencia Española de Protección de Datos.

Read More
Daemon4 - Software - ERP - lopd

03 Dic LA LOPD EN EL DÍA A DÍA

Cláusula informativa de la protección de datos incluida en las facturas

El artículo 5.1 de la LOPD establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de al menos:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

c) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Por tanto, es recomendable (que no obligatorio) incluir la cláusula informativa en las facturas y/o documentos que se le entreguen al cliente y aquellos en donde se le recojan datos personales, de forma que estemos informando en todo momento al cliente de los extremos señalados anteriormente y, llegado el caso, podamos demostrar a la AEPD que hemos cumplido con el deber de información exigido.

IMPORTANTE

En caso de controversia entre las partes, la Agencia Española de Protección de Datos se ceñirá a las pruebas documentales. Cuanto más documentado esté todo, mejor.

Read More
Daemon4 Servicio Asesoría LOPD

25 Nov LOPD: EL PROFESIONAL RESPONDE

¿Cuándo se ha de realizar la auditoría bienal y qué debe contener dicho informe?

La LOPD establece que debe realizarse una auditoría, al menos cada dos años, para los ficheros de nivel medio y alto.
En caso de que se realice un cambio de sustancial en los sistemas de información, organización o tratamiento, se deberá realizar de forma extraordinaria aunque no hayan pasado los dos años.

Dicha auditoría debe realizarse, obligatoriamente, por personal independiente y debidamente cualificado.

Tiene por objeto verificar el cumplimiento real de la normativa dentro de la organización.

Dicho informe de auditoría deberá:

1. Dictaminar sobre la adecuación de las medidas y controles de Ley y su Reglamento de Desarrollo.

2. Identificar las deficiencias encontradas.

3. Proponer medidas correctoras o complementarias necesarias.

4. Incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

Como se puede desprender de todos estos requisitos, el informe de auditoría es sumamente completo, y debe justificar debidamente todas las conclusiones y recomendaciones propuestas.

IMPORTANTE

Se debe conservar, al menos, el último informe de auditoría a disposición de la Agencia Española de Protección de Datos.

Read More
Daemon4 - Servicios Videovigilancia, camaras, grabadores

18 Nov LOPD: LA AEPD ACLARA

Datos personales del profesorado en la web

El informe 0223 de la AEPD resuelve la consulta planteada sobre si la consultante puede proceder a publicar en la página web de la Universidad los datos de contacto de sus profesores consistentes en el número de teléfono y correo electrónico de la Universidad sin su consentimiento, con la finalidad de favorecer la actividad docente a través de la interrelación con los alumnos

De dicho informe jurídico se extrae lo siguiente:

a) La comunicación planteada implica la existencia de una cesión de datos de carácter personal.

b) Toda cesión de datos debe obtener el consentimiento previo del interesado salvo que se dé cualquiera de los supuestos del artículo 11.2 de la LOPD.

c) El RD1720/2007, en su art. 2.2 establece que no será de aplicación la LOPD a los tratamientos de datos referidos a las personas jurídicas ni a los ficheros que se limiten a incorporar datos de las personas físicas que presten sus servicios en aquellas consistentes únicamente en su nombre y apellidos, funciones o puestos, dirección postal, teléfono y fax profesionales. Siempre que la finalidad sea contactar con la entidad y no con la persona.

d) Por ello, si los datos de los profesores aparecen exclusivamente vinculados a su actividad como docentes, en su entorno profesional, no están esos datos dentro del ámbito y no sería necesario el consentimiento para la cesión.

IMPORTANTE

En general, el principio relativo a la cesión de datos es el que más dudas suscita de cara al cumplimiento de la normativa de protección de datos.

 

Read More
Daemon4 - Servicios de Redes Backup Online y Seguridad

11 Nov LOPD: SANCIONES DE LA AEPD

Sanción a fotógrafo por exponer fotos sin consentimiento

En el procedimiento sancionador PS/00161/2014 de la AEPD podemos ver la sanción que puede sufrir un fotógrafo por exponer fotos de un cliente en el escaparate y en internet sin el necesario consentimiento.

Según los hechos, la denunciante contrató los servicios del fotógrafo para la realización de varios álbumes, siendo expuesta luego en el escaparate, sin consentimiento alguno, una de las fotografías, en la que aparece la denunciante en ropa interior. Por otro lado, también se halla gran parte del álbum en su galería web, donde aparece también su hija menor de edad.

La denunciada presentó un escrito de alegaciones en el que manifiesta que recabó el consentimiento de forma verbal porque no disponía de impresos que firman sus clientes para este fin, Por otra parte, declara que una avería en la web motivó que estuvieran visibles fotos antiguas, sin que hubiera conocido esa incidencia.

Según la Agencia, corresponde siempre al responsable del fichero comprobar que tienen el consentimiento del afectado cuando realiza algún tratamiento de datos personales de éste. El encargo de las fotografías efectuado por la denunciante no justifica la utilización de las mismas para su divulgación a través de la web.

Resultado: sanción total de 3.000€.
Infracción del art. 6 de la LOPD tipificada como grave, imponiéndole una sanción de 1.500€.
Infracción del art. 10 de la LOPD, tipificada como grave, imponiéndole una sanción de 1.500€.

IMPORTANTE

Antes de colgar imágenes de personas en una web, hay que asegurarse que se dispone del consentimiento de las personas que aparecen en ellas.

 

Read More
Daemon4 - Servicios de Backup Online y Seguridad

04 Nov LOPD: LA LOPD EN EL DIA A DIA

EN QUE CIRCUNSTANCIAS  PUEDO DENEGAR EL EJERCICIO DE UN DERECHO DE ACCESO

El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como el origen de dichos datos y las cesiones previstas de los mismos.
El responsable del fichero o tratamiento podrá denegar el acceso en estos casos:

a) Cuando la solicitud sea formulada por una persona distinta del afectado y no se acredita que actúa en representación de aquél.

b) Cuando el derecho ya se ha ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto.

c) Cuando lo prevea una Ley o una norma de derecho comunitario.

Es decir, que el titular de los datos solo podrá solicitar un derecho de acceso una vez cada 12 meses, siempre que no acredite un interés legítimo para acortar este plazo de tiempo.

IMPORTANTE

El responsable del fichero dispone de un mes para estimar la solicitud de acceso, y cuenta con 10 días para responder a dicha solicitud una vez estimada.

Read More
Daemon4 - Software - ERP - lopd

14 Oct EL PROFESIONAL RESPONDE:¿Qué he de hacer, de cara a la LOPD, cuando se incorpora un nuevo trabajador en la empresa?

Cuando se incorpora un trabajador a la entidad, debemos realizar las siguientes acciones:

1. Identificar el perfil al que pertenece ese usuario y, si es necesario, crear un perfil nuevo para él si no existe perfil adaptado a su tratamiento.

2. Incorporar este usuario a la lista de usuarios y accesos autorizados, de forma que conste en el documento de seguridad los ficheros a los que va a tener acceso de forma efectiva.

3. Crearle un identificador único para el acceso a los sistemas y una contraseña personal.

4. Crearle las autorizaciones que precise ese trabajador para sus funciones:

     a. portes Salida de soy/o documentos fuera de las instalaciones.

     b. Uso de portátiles.

     c. Trabajo fuera de los locales.

     d. Dispositivos a los que tiene acceso.

     e. Etc.

5. Darle a firmar el compromiso de confidencialidad y deber de secreto.

6. Darle una formación LOPD relacionada con sus funciones.

IMPORTANTE

La LOPD se ha de cumplir en todo el ciclo de vida de los datos: recogida, tratamiento y supresión.

Read More
Protección de datos

07 Oct LOPD: LA AEPD ACLARA:Información en dos capas de las cookies

El informe 0093/2014 de la AEPD resuelve la consulta planteada sobre si la segunda capa de información sobre la cookies de una web ha de referirse a un documento en el que conste la Política de cookies o si podría estar contenida en la Política de Privacidad y Cookies.

De dicho informe jurídico se extrae lo siguiente:

-Debe existir una primera capa a primera vista y destacada que informe de la utilización de cookies y un enlace a la segunda capa de información.

-La segunda capa ha de ser accesible e identificable. Es válido denominarla “Política de privacidad y cookies”.

-En cuanto a la información que ha de tener cada capa:

      .Capa 1: Advertencia sobre el uso de cookies no exceptuadas; finalidad de las cookies; si son propias o de terceros; advertencia de que si el usuario realiza una determinada acción se entenderá que acepta el uso de cookies y por último, un enlace a la segunda capa informativa.

     .Capa 2: Definición y función de las cookies; tipo de cookies que utiliza la web y su finalidad; forma de desactivar o eliminar las cookies descritas; identificación de quienes utilizan las cookies, incluidos terceros.

IMPORTANTE

Es necesario realizar una auditoría de cookies a la web para identificar las cookies y elaborar los textos necesarios.

Read More
Protección de datos

30 Sep LOPD: Sanción por cancelación no efectiva de datos

En el procedimiento sancionador PS/00603   de la AEPD podemos ver la sanción que puede sufrir una empresa por no cancelar de forma efectiva los datos de un individuo.

Según los hechos, el denunciante remitió por correo certificado a EL CORTE INGLES un escrito en el que solicita la cancelación de sus datos y expresa su negativa a recibir, por cualquier medio, publicidad de la entidad o de las empresas del grupo.

Aunque EL CORTE INGLES le contesta que: “…hemos procedido a dar las instrucciones pertinentes para que, según su deseo, se den de baja todos los datos relativos a su persona….”, el denunciante sigue recibiendo correos electrónicos comerciales de la citada entidad.

En relación a las alegaciones formuladas por la representación de EL CORTE INGLES, S.A., a la propuesta de resolución, hay que señalar que si bien, los envíos comerciales se enmarcaban en la relación comercial previa ex art. 21.1 LSSI, dicha cobertura jurídica decae cuando expresamente se muestra la oposición a recibir tales comunicaciones comerciales. Es decir, la entidad denunciada no está legitimada ad livitum para enviar comunicaciones comerciales electrónicas, sino que hay que atender a la voluntad del destinatario, cuestión que en el presente caso no ha sucedido.

Resultado: infracción del artículo 21.1 de la LSSI tipificada como grave, imponiéndole a la entidad una sanción de 35.000 €.

IMPORTANTE

Antes de lanzar una campaña de marketing, es conveniente consultar son su asesor de protección de datos para evitar problemas.

Read More
Protección de datos

24 Sep LOPD: ¿Qué he de hacer para sacar fuera de la oficina un disco duro con datos de nivel alto?

A la hora de trasladar datos de nivel alto fuera de las instalaciones del responsable del fichero hemos de ser especialmente cautos y realizar las siguientes tareas:
-Si el soporte no dispone de etiqueta identificativa, asígnale una utilizando un sistema de etiquetado que sea comprensible y con significado que permita a los usuarios con acceso autorizado a dichos soportes identificar su contenido y que dificulten la identificación para el resto de las personas.
-Dar de alta dicho soporte en el inventario de soportes y documentos.
-Cifrar los datos que se van a trasladar en el soporte, de forma que si por cualquier motivo el soporte se extravía, no se pueda acceder a dichos datos.
-Anotar la salida en el registro de salidas, que deberá incluir la siguiente información: el tipo soporte, la fecha y hora, el receptor del soporte, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega, que deberá estar debidamente autorizada.

IMPORTANTE

Cuando se tratan datos de nivel alto hay que tener especial cuidado y extremar las cautelas en dicho tratamiento.

Read More
Protección de datos

17 Sep ¿Qué ventajas aporta un gestor documental para el cumplimiento de la normativa de protección de datos?

Un gestor documental aporta la seguridad de que cada persona involucrada en el tratamiento de la información sólo accede a aquella información que necesita para su trabajo, facilitando además la aplicación de las medidas de seguridad adecuadas a los diferentes niveles de datos (básico, medio y alto) dado que permite negar el acceso a determinada información a aquellas personas no autorizadas.

Además, guarda un registro muy detallado del uso que aquellos usuarios que tienen acceso hacen de los datos.

De esta forma podemos saber quién ha accedido a un dato, quien lo ha impreso, copiado, duplicado o borrado, por ejemplo.

En este sentido supone una solución para aquellas empresas que manejan datos en papel de nivel medio o alto, que muchas veces se enfrentan a un dilema para conciliar las medidas de seguridad obligatorias con el uso en el día a día de la información.

Por último, dado que toda la información está en formato electrónico, es posible incluir la totalidad de los datos en la copia de seguridad semanal.

IMPORTANTE
Se ha de revisar el software que se adquiere para verificar el nivel de seguridad que permite cumplir respeto a la LOPD.

Read More
Protección de datos

10 Sep Servicio recuperación de impagados

El informe 00376 de la AEPD resuelve la consulta planteada sobre si el servicio que se suministra a una empresa de recuperación de impagados se ajusta a la normativa de protección de datos.
La consulta en concreto se plantea sobre si la localización de teléfonos de morosos se adecúa a la LOPD, así como de la situación que se produce cuando dicha empresa contacta con un teléfono que no corresponde al deudor y para realizar la verificación de la identidad, se facilita el DNI del deudor y el importe de la deuda.
De dicho informe jurídico se extrae lo siguiente:
a)La compañía que le busca el teléfono es encargada del tratamiento de la primera. Por tanto, debe de existir un contrato de acceso a datos por cuenta de terceros entre ambas.
b)Siempre y cuando la búsqueda del teléfono sea en fuentes accesibles al público, no precisa del consentimiento de los titulares de los datos.
c)Es este supuesto, la comunicación de datos a una persona distinta al titular de los datos, si no existe previo consentimiento del interesado, sería contrario a lo previsto en la LOPD.
IMPORTANTE
Siempre que suministremos datos a otra entidad, debemos extremar las cautelas y firmar el correspondiente contrato.

 

Read More

Utilizamos cookies propias y de terceros para recoger información analítica sobre el uso de la web, si continúa navegando, acepta nuestra política de cookies, su instalación y uso. Puede cambiar la configuración u obtener más información sobre las cookies aquí.

ACEPTAR
Aviso de cookies