Boletin lopd abril 2013

Daemon4 - Servicios de Redes Backup Online y Seguridad

24 Abr Boletin lopd abril 2013

 

Para que mi asesor me haga la contabilidad tengo que darle datos, ¿cómo lo regulo?

El acceso a datos de carácter personal por parte de una entidad ajena al titular del fichero, es lo que se denomina un acceso a datos por cuenta de terceros y la entidad que accede a esos datos para prestar un servicio (en este caso, el asesor) es lo que se denomina un encargado del tratamiento.

Con objeto de garantizar que el encargado del tratamiento solo utiliza los datos con la finalidad de realizar la prestación de su servicio, la LOPD obliga a conformar un contrato entre ambos en el que se establece expresamente:

  • Que el encargado del tratamiento:

    • Sólo tratará los datos conforme a las instrucciones del responsable del fichero.

    • No los aplicará o utilizará con fin distinto al que figure en dicho contrato.

    • No los comunicará, ni siquiera para su conservación a otras personas.

  • Las medidas de seguridad que el encargado del tratamiento está obligado a implementar.

Este contrato hay que formalizarle con todas y cada una de las entidades que tengan o puedan tener acceso a datos.

A TENER EN CUENTA

 No disponer del contrato de encargado del tratamiento es una infracción leve, con sanción de entre 900 y 40.000€.

Sanción por videovigilancia en vestuario y sin legalizar

 En la resolución R/03155/2012 de la AEPD se puede ver la sanción que puede sufrir una organización por colocar cámaras de vigilancia en lugares prohibidos y, además, no tener legalizada la instalación.

 Con fecha 16 de julio de 2012 tuvo entrada en la AEPD un informe del Departamento de Interior de la Generalidad de Cataluña, poniendo de manifiesto que a raíz de la inspección policial practicada con fecha 29 de mayo de 2012 en el establecimiento PARADISE, propiedad de LA VIMETERA, S.L. (Girona), los Mozos de Escuadra actuantes comprobaron que en el interior de dicho local se estaba produ-ciendo un tratamiento de datos de carácter personal con cámaras de videovigilancia que podía constituir infracción de la LOPD.

 En la inspección de la AEPD se constató que existía un sistema de videovigilancia integrado por 16 cámaras, un monitor en el despacho del director desde el que se visualizaban las imágenes captadas en tiempo real y un grabador marca Samsung.

 Dos de las cámaras de videovigilancia estaban situadas en el vestuario de las mujeres que prestaban sus servicios en el club y sus imágenes eran captadas mientras se desvestían. Las imágenes eran grabadas y almacenadas diez días.

 Se comprobó también que dicho fichero no se encontraba inscrito en la AEPD.

 Existían carteles informativos de videovigilancia en el establecimiento.

 Resultado: Sanción de 50.000€ por infracción del artículo 4.1 de la LOPD, relativo a la calidad de los datos (situar cámaras en vestuario).

 Y además, sanción de 1.100€ por infracción del artículo 26.1 de la LOPD, relativo a la inscripción de ficheros (no tener notificado el fichero a la AEPD).

IMPORTANTE

 Antes de colocar cámaras de videovigilancia se ha de sopesar la proporcionalidad de su uso contra la finalidad perseguida.

Cartel informativo en establecimiento

 El informe jurídico 0029/2011 de la AEPD resuelve la consulta planteada relativa sobre si resulta conforme a la Ley Orgánica 15/1999 (LOPD), el cumplimiento del deber de informar a los interesados acerca del tratamiento de sus datos personales mediante la colocación de un cartel en el establecimiento.

 De dicho informe jurídico se extrae lo siguiente:

 El art 5 de la LOPD dispone que “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco” de los extremos indicados en el art. 5.1 de la LOPD.

  • La LOPD no exige una forma determinada de llevar a cabo tal deber de información.

  • La Agencia de Protección de Datos se ha pronunciado sobre la libertad de forma para cumplir con dicho deber en diversos informes, y admite la información facilitada mediante un cartel anunciador siempre que reúna los requisitos de ubicación y formato que garanticen su conocimiento por parte de los interesados, o bien la inclusión de la cláusula informativa en un impreso entregado al afectado cuando se acreditase que el mismo ha sido debidamente informado sobre el tratamiento y cesión de sus datos, por ejemplo, mediante su firma.

Conclusión: sí, se cumple con el deber de informar, siempre que el cartel reúna los requisitos exigidos en el art. 5.1 de la LOPD, así como los de visibilidad y legibilidad señalados, de manera que se asegure que los interesados tengan conocimiento de dicha información y puedan ejercitar sus derechos.

También, recordar que, en todo caso, corres-ponde al responsable del fichero la prueba del cumplimiento del deber de información, si bien dicho cumplimiento podrá acreditarse por cual-quier medio de prueba admisible en derecho.

A TENER EN CUENTA

Siempre que se recogen datos personales, hay que informar a los titulares a través de una cláusula informativa de los extremos indicados en el art. 5.1 de la LOPD.

¿En caso de tener una inspección por parte de la AEPD,
qué es lo que pueden hacer los inspectores?

 La AEPD puede realizar inspecciones de oficio o a instancias de los afectados, recabando tanta información como necesiten para el cumplimiento de sus cometidos.

Los inspectores de la AEPD podrán:

  1. Solicitar la exhibición o el envío de documentos y datos, así como examinarlos en el lugar que se encuentren.

  2. Acceder a los locales donde se encuentran los soportes con datos, así como inspeccionar los soportes y equipos.

  3. Requerir el pase de programas y examinar la documentación pertinente al objeto de determinar, en caso necesario, los algoritmos de los procesos que tratan los datos.

  4. Examinar los sistemas de transmisión y acceso a los datos.

  5. Realizar auditorías de los sistemas informáticos con miras a determinar su conformidad con las disposiciones de la LOPD.

El responsable del fichero estará obligado a permitir el acceso a los locales en los que se hallen los ficheros y los equipos informáticos previa exhibición de la autorización expedida por el Director de la AEPD.

La obstrucción al ejercicio de la función inspectora de la AEPD es una infracción tipificada como grave con sanción de entre 40.001 y 300.000 €.

A TENER EN CUENTA

 Los funcionarios que ejercen la inspección tienen considera-ción de autoridad pública en el desempeño de sus cometidos.

 

 

 



Utilizamos cookies propias y de terceros para recoger información analítica sobre el uso de la web, si continúa navegando, acepta nuestra política de cookies, su instalación y uso. Puede cambiar la configuración u obtener más información sobre las cookies aquí.

ACEPTAR
Aviso de cookies