Formación Tag

Daemon4 - Software - ERP - lopd

07 Feb Boletín LOPD Febrero 2014

 

LA LOPD EN EL DÍA A DÍA

¿Cuándo he de pedir consentimiento y cuándo no?

 

Norma general:

 

  • Hemos de pedirlo siempre.

 

 

Excepciones:

 

  • Cuando exista una relación negocial, laboral o administrativa y sean necesarios para la misma
    (por ej.  prestar un servicio directo al interesado).

  • El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado (ej. prestarle asistencia sanitaria).

  • Los datos figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades del interesado.

  • Se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.

 

Importante: aunque no sea necesario recabar el consentimiento, siempre hemos de informar al interesado de la identidad del responsable, finalidad de la recogida y el ejercicio de derechos ARCO.

 

 

IMPORTANTE

 

La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran.

SANCIONES DE LA AEPD

 

 

Fotógrafo presenta a concurso foto sin consentimiento

 

 

En la resolución R/02426/2010 de la AEPD podemos ver cómo es necesario obtener el consentimiento para la publicación de una fotografía que recoja la imagen de una ó varias personas.

 

Según los hechos, tuvo entrada en la AEPD un escrito de una persona en el que declara que su hijo de siete años, A.A.A. aparece en un cartel publicitario en las estaciones del Metro de Madrid.

 

El cartel consiste en un anuncio, realizado por la Agencia de Publicidad de la Comunidad de Madrid, del Certamen “II Exposición FotoCam 2009”.

 

El denunciante indica que la fotografía, titulada “El pequeño Jedi”, ha sido realizada por un fotógrafo profesional y fue tomada de forma furtiva (el niño no mira hacia el objetivo) y sin su consentimiento ni el de su esposa.

 

Investigados los hechos, el denunciado no ha aportado prueba documental que acredite el consentimiento de los padres y representantes legales del afectado menor de edad, para que dicho fotógrafo pudiera llevar a cabo el tratamiento de datos personales realizado.

 

Resultado: infracción del artículo 6.1 de la LOPD tipificada como grave, con sanción de 40.001 a 300.000 euros.

 

Teniendo en cuenta los criterios de graduación de las sanciones previstos en el citado artículo 45.4 de la LOPD y, en especial, al volumen de tratamientos, la AEPD procede a sancionar a dicho fotógrafo con una multa de 1.000€.

IMPORTANTE

 

Como hemos visto en este caso, corresponde al responsable del fichero la prueba del consentimiento para el tratamiento de los datos personales, debiendo siempre poder acreditar que dicho consentimiento ha sido prestado por el titular de los datos.

 

 

 

LA AEPD ACLARA

 

Cesión de datos a Federación

 

El informe 0191/2010 de la AEPD resuelve si resulta conforme a la LOPD que la entidad consultante, asociación de fotógrafos, comunique los datos de sus asociados a la Federación de la que forma parte.

 

De dicho informe jurídico se extrae lo siguiente:

 

  • La integración de la Asociación consultante en dicha Federación, aprobada conforme a lo establecido en sus estatutos, implica la aceptación por sus asociados de las condiciones que derivan de la integración de la misma, estableciéndose así una relación jurídica entre la Federación y los afectados por la cesión de datos que requiere el acceso a los datos relativos a su identidad, por lo que dicha cesión de datos vendría amparada en lo previsto en el artículo 11.2.c) de la Ley Orgánica 15/1999.

  • En todo caso, debe recordarse que el artículo 4.1 de la LOPD al recoger el principio de proporcionalidad en el tratamiento de los datos personales dispone que éstos serán “adecuados, pertinentes y no excesivos”, por lo que la cesión deberá limitarse a los datos relativos a la identificación de los asociados.

 

Recordemos que el artículo 10.4 del RD1720/2007 dice: “Será posible la cesión de los datos de carácter personal sin contar con el consentimiento del interesado cuando: a) La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.”

 

 

 

A TENER EN CUENTA

 

Una cesión no consentida de datos personales que no esté bajo el amparo de ninguna de las excepciones que marca la Ley es una infracción muy grave, con sanción de hasta 600.000€.

 

 

 

EL PROFESIONAL RESPONDE

 

¿Con quién tengo que hacer e un contrato de acceso a datos por cuenta de terceros?

 

Se debe hacer un contrato de acceso a datos por cuenta de terceros con los encargados del tratamiento, es decir, con todas las empresas externas que accedan, puedan acceder ó suministremos datos personales con la finalidad de prestarnos un servicio. (p.ej. en una fábrica de muebles su asesoría fiscal, su encargado de vigilancia de la salud, su consultor de protección de datos….)

 

Estos son algunos de los encargados del tratamiento que pueden existir:

 

  • Consultora de la LOPD.

  • Mantenimiento informático de hardware y/o videovigilancia.

  • Proveedor/soporte de software.

  • Servicio de prevención de riesgos laborales y de la vigilancia de la salud.

  • Asesoría laboral, fiscal y/o contable.

 

  • Consultora de calidad, medioambiente, SGSI, etc.

  • Certificadora de la norma de calidad, medioambiente, SGSI, etc.

  • Proveedor de alojamiento y/o correo electrónico.

  • Diseño web, comercio electrónico, etc.

  • Organizadora y/o impartidora de formación para los trabajadores.

  • Envío de mailings.

    Como Responsables de Fichero, debemos conformar el contrato de encargado del tratamiento antes de que comience la prestación del servicio”

 

 

A TENER EN CUENTA

Con la empresa de limpieza, seguridad, o cualquier otra que con motivo de su desempeño pudiera tener acceso a datos personales aunque no sea este su cometido, también debe hacerse un contrato de prestación de servicio sin acceso a datos.

 

 

 

Read More
Daemon4 - Servicios de Backup Online y Seguridad

27 Nov Boletín lopd noviembre 2013

LA LOPD EN EL DÍA A DÍA

¿Qué incidencias deben registrarse de cara a la LOPD?

En el registro de incidencias que debe disponer la organización, se registrará cualquier incidente que afecte, o pueda afectar a la seguridad de los ficheros con datos personales.

Se deberán tener en cuenta, entre otras, las siguientes incidencias:

  • Pérdida de información de algún fichero con datos personales.

  • Modificación de datos personales por personal no autorizado o desconocido.

  • Existencia de sistemas sin las debidas medidas de seguridad.

  • Los intentos de acceso no autorizados a ficheros.

  • El conocimiento por terceros de la clave de acceso al sistema.

  • El intento no autorizado de salida de un soporte con datos personales.

  • La existencia de soportes con datos personales sin inventariar.

  • La destrucción total o parcial de un soporte que contenga datos de carácter personal.

  • La caída del sistema de seguridad informática, que posibilite el acceso a datos por personas no autorizadas.

 

A TENER EN CUENTA

El registro de incidencias puede estar en soporte papel o bien, puede registrarse de forma automatizada.

 

 

 SANCIONES DE LA AEPD

Denuncia en la que la empresa se auto inculpa

El procedimiento sancionador de la AEPD PS/00495/2013, iniciado a instancias de una denuncia presentada por la propia compañía, en la que se auto inculpa del envío de una newsletter a 268 clientes sin utilizar el campo de envío con copia oculta (CCO) sino con copia normal (CC), quedando al descubierto y accesibles los email de los clientes.

La empresa reconoció el error, envió un mail de disculpa a todos los clientes, lamentando lo sucedido y le remitió a todos los departamentos un mail destacando la importancia de evitar errores como este, quedando absolutamente prohibido el envío de correos masivos desde direcciones personales o sin utilizar el campo CCO.

Reconocen también ante la Agencia Española de Protección de Datos que debido a este error se ha violado la intimidad de los clientes al exponer su mail e infringiendo el artículo 10 de la LOPD, solicitando que la sanción se gradúe en lo mínimo, debido al reconocimiento del error, a la poca gravedad de la información afectada, así como el beneficio obtenido que ha sido nulo y a la no reincidencia.

La vulneración del deber de secreto es una infracción grave, con sanción de entre 40.001 y 300.000 €.

Teniendo en cuenta los criterios de graduación las sanciones que prevé la Ley, considerando que empresa ha reconocido su culpabilidad remitiendo su auto denuncia y la ausencia de intencionalidad, la AEPD procedió a una rebaja en la cuantía de la sanción.

El resultado: una sanción de 900 € por infringir el artículo 10 de la LOPD, relativo al deber de guardar secreto sobre los datos personales que se tratan.

 

IMPORTANTE

 

En este procedimiento vemos que la empresa ha considerado más acertado denunciarse a sí misma a esperar una posible denuncia de algún cliente afectado.

LA AEPD ACLARA

 

Uso alternativo de datos de domiciliaciones

 

El informe 0070/2013 de la AEPD da respuesta a la consulta planteada sobre si los resulta conforme a la LOPD el que una entidad financiera haga uso de la información que figura en los recibos domiciliados para el abono de la prima de un determinado seguro y que le son remitidos por un mediador con la finalidad de ofrecer los seguros que comercializa a través de sus acuerdos, habiéndose recabado para ello el consentimiento de los clientes o si el uso de tales datos queda exclusivamente limitado a la finalidad de proceder al abono de dichos recibos no pudiendo emplearse dicha información para ninguna otra finalidad, ni siquiera con el consentimiento del cliente para ello.

 

A tenor de dicho informe jurídico se deben tener en cuenta lo siguiente:

 

  • El tratamiento planteado es un tratamiento con una finalidad distinta al relacionado con el mantenimiento de la propia relación con la entidad derivado de la apertura de la cuenta en la que se realiza el abono.
  • La transmisión a la entidad aseguradora del banco constituye una cesión de datos.
  • El afectado deberá ser informado y consentir este nuevo tratamiento que se va a dar a sus datos, de forma que autorice a que los datos relacionados con los movimientos de su cuenta sean empleados por parte de la entidad financiera para que se le remitan comunicaciones comerciales referidas a esos servicios, y en caso de que sean cedidos, se deberá contar con el necesario consentimiento de titular para efectuar dicha cesión.

 

A TENER EN CUENTA

La cesión de datos entre entidades distintas requiere el consentimiento del titular o estar amparado en alguna de las excepciones.

EL PROFESIONAL RESPONDE

 

¿En qué beneficia a mi organización cumplir con la Ley Orgánica de Protección de Datos de Carácter Personal?

Los beneficios de cumplir correctamente la LOPD para la empresa, (aparte de evitar cuantiosas sanciones) son diversos:

  • Ayuda a establecer pautas y procedimientos que de forma directa ayudan a la empresa a proteger su activo más valioso: sus clientes (copias de seguridad, custodia de documentación, etc.).
  • Inicia a la organización en la gestión de la seguridad de la información que poseen (imprescindible para la implantación efectiva de la factura electrónica, ya que las facturas dejarán de estar en papel para estar en los equipos informáticos).
  • Clarifica el organigrama de la empresa, las funciones de cada individuo y a qué puede y no puede acceder.
  • Ayuda a tener un conocimiento del inventario tecnológico de la empresa, de sus posibilidades y vulnerabilidades (muchos clientes no se habían planteado si sus empleados podían acceder desde casa al servidor de la empresa hasta que se les hizo la pregunta, a veces no sabiendo qué responder).
  • Aporta una mejor imagen ante los clientes, ya que les demostramos que nos preocupamos por sus datos.

 

 

A TENER EN CUENTA

Cada vez más los ciudadanos están sensibilizados con sus datos personales y el uso que hacen las empresas y entidades de ellos.

 

Read More
Daemon4 - Servicios de Backup Online y Seguridad

29 Oct Boletín lopd octubre 2013

Trabajadores: deber de secreto y confidencialidad 

La LOPD dice en su artículo 10:

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

Es decir, todas las personas que intervienen en el tratamiento de los datos de carácter personal (en la recogida, en el almacenamiento, en la utilización, etc.) están obligadas por ley al secreto profesional respecto de los mismos.

También están obligadas a guardarlos y custodiarlos adecuadamente, de forma que no tenga acceso a dichos datos alguien no autorizado.

Para dar a conocer esto a todos los trabajadores involucrados, además de formarlos y concienciarlos, es conveniente darles a firmar un compromiso de confidencialidad y deber de secreto, a través del cual se comprometen a no revelar ningún dato incluso después de finalizada la relación laboral, de forma que podamos acreditar que les hemos informado adecuadamente.

A TENER EN CUENTA

Aunque un trabajador vulnere el deber de secreto y revele datos, la sancionada a priori será la entidad responsable del fichero, no el trabajador en cuestión.

Fax con datos personales enviado al trabajo

El procedimiento sancionador de la AEPD PS/00575/2009, iniciado a instancias de una denuncia presentada por un particular a la entidad GENERAL ELECTRIC MONEY BANK SA pone de manifiesto la necesidad que tienen las organizaciones de adecuar sus procedimientos de contacto con los clientes de forma que se cumpla en todo momento la normativa y se protejan los datos de dichos individuos.

En este caso, el hecho es que la denunciante suscribió un crédito con la mencionada entidad.

Al resultarse impagadas algunas de las cuotas de dicho crédito, la entidad envió un fax al trabajo del denunciante exponiendo el hecho de que existían cuotas impagadas e instando a su regularización (fax que evidentemente estuvo a disposición del resto del personal que trabajaba en las instalaciones, suponiendo esto una vulneración del deber de secreto profesional).

La entidad no había podido acreditar que existía consentimiento de la denunciante para enviar dicha información al fax de su trabajo.

El resultado: una sanción de 3.000 € por infringir el artículo 10 de la LOPD (grave), relativo al secreto profesional y al deber de guardar dichos datos por haber posibilitado y facilitado que otras personas tuviesen acceso a datos personales de aquélla sin su consentimiento.

Nota: hemos de tener en cuenta que se ha aplicado el artículo 45.4, rebajando la cuantía de la sanción.

IMPORTANTE

Corresponde a la entidad acreditar el consentimiento otorgado por cualquier medio de prueba admitido en derecho.

Delegados de Prevención y LOPD

El informe 0355/2010 de la AEPD da respuesta a la consulta planteada sobre si los delegados de prevención pueden acceder a los datos de salud de los empleados públicos contenidos en los partes de accidentes de trabajo y en la relación de accidentes de trabajo sin baja médica, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y a su Reglamento de desarrollo.

A tenor de dicho informe jurídico se deben tener en cuenta lo siguiente:

  • Tanto la relación de accidentes de trabajo como la información sobre los daños en la salud que aparezcan en los partes de accidentes de trabajo de los trabajadores que determinen una ausencia al trabajo superior a un día, podrá facilitarse a los delegados de prevención de forma disociada. Es decir, sin hacer referencia a qué trabajador corresponden dichos datos.
  • Que los datos suministrados sean adecuados, pertinentes y no excesivos para esa finalidad.
  • Que no se utilicen para ninguna otra finalidad.
  • En todo caso, los delegados de prevención deberán guardar secreto respecto de la información así obtenida (artículo 10 de la LOPD).

    A TENER EN CUENTA

    Siempre que se traten datos especialmente protegidos, las medidas de seguridad han de extremarse.

    La Agencia Española de Protección de Datos presenta el portal ‘Tú decides’, dirigido a la protección de los menores en Internet

    Puede acceder desde este enlace: http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2013/notas_prensa/common/octubre/131024_NP_TudecidesenInternet.pdf

    ¿Qué plazos de tiempo existen para el ejercicio de los derechos y qué se debe aportar?

    Depende del derecho que se ejerza.

    Para el derecho de acceso, la empresa dispone de 30 días para estimar la solicitud y luego 10 días para efectuar la contestación efectiva.

    Se debe contestar al derecho de acceso incluso si no se posee ningún dato del interesado.

    Los derechos de rectificación y cancelación deben hacerse efectivos y contestarse en un plazo máximo de 10 días desde su recepción.

    Si se ha producido una cesión de datos, debe extenderse la petición efectuada a todas las entidades cesionarias de dichos datos para que también se haga efectivo en las mismas.

    El derecho de oposición debe hacerse efectivo y contestarse también en un máximo de 10 días.

    Para poder ejercer cualquier derecho, el titular o representante debe aportar:

    1. Fotocopia del DNI/NIE o documento equivalente del titular de los datos.

    2. Petición en que se concreta la solicitud.

    3. Dirección a efectos de notificaciones.

    4. Documentos acreditativos de la petición que formula, en su caso.

    5. Fecha y firma.

    A TENER EN CUENTA

    El ciudadano puede pedir tutela a la Agencia Española de Protección de Datos en caso de que no sea atendida su petición de ejercicio de derecho.

Read More
Daemon4 Servicio Asesoría LOPD

18 Jun Boletin lopd Junio 2013

 

El contrato de acceso a datos por cuenta de terceros

 

Siempre que una empresa externa acceda o pueda acceder a datos personales de nuestra entidad (ej: asesor fiscal, mantenimiento informático, etc.) hay que firmar un contrato para regular ese acceso.

Este contrato se denomina contrato de acceso a datos por cuenta de terceros, y a la empresa externa que presta el servicio se le denomina encargado del tratamiento.

 

Para que sea válido, el contrato ha de contener la siguiente información:

 

  • El servicio que se va a prestar.

  • Los ficheros o datos personales a los que puede tener acceso el encargado.

  • Dónde y cómo se va a prestar el servicio.

  • Si el servicio implica, o no, almacenar datos en los sistemas del encargado.

  • Las medidas de seguridad que el encargado del tratamiento está obligado a implementar.

  • Además, se indicará en el contrato expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

 

El contrato debe constar por escrito o en alguna otra forma que permita acreditar

A TENER EN CUENTA

 

No disponer de este contrato con un encargado del tratamiento puede acarrear una sanción de entre 900 y 40.000€.

Sanción por existencia de cámaras sin cartel informativo

 

En la resolución R/02180/2010 de la AEPD se puede ver la sanción que puede sufrir una organización instalar cámaras de videovigilancia sin colocar los carteles indicativos de zona videovigilada y sin las indicaciones del lugar donde se pueden ejercer los derechos de los afectados.

 

Con fecha de 20/08/09 tiene entrada en la AEPD un escrito del Área de Gobierno de Seguridad y Movilidad del Ayto de Madrid en el que se remite a un informe de la Policía Municipal de Madrid comunicando una posible infracción de la LOPD motivada por la existencia de cámaras de vieovigilancia en el local comercial Madrid Juegos cuyo titular es la entidad JOYPAZAR S.A..

 

En el informe se indica que durante una inspección realizada a JOYPAZAR se comprobó que existen seis cámaras de videovigilancia sin presentar carteles informativos y sin las indicaciones de donde pueden ejercerse los derechos.

 

Una vez instruido el procedimiento, se constata que existe un sistema de videovigilancia instalado y en funcionamiento que recoge imágenes de personas sin los carteles informativos, con lo que se está procediendo al tratamiento de datos sin el consentimiento de los mismos al no existir un cartel informativo que indicase que se estaban realizando dichas grabaciones. Y siendo ésta la información básica requerida para que los titulares puedan prestar dicho consentimiento, ya que difícilmente va a ser posible prestar consentimiento de algo que desconoce (en este caso, que está siendo grabada).

 

Resultado: Sanción de 2.500€ por infracción del artículo 6.1 de la LOPD, relativo al consentimiento.

IMPORTANTE

 

El cartel informativo ha de contener siempre el nombre del responsable y el domicilio en el cual se han de ejercer los derechos.

Cesión de datos de padrón a notario

 

El informe jurídico 0074/2013 de la AEPD resuelve la consulta planteada relativa a si es conforme a la LOPD la cesión del certificado de empadronamiento de dos personas por parte del Ayuntamiento a un Notario que lo ha solicitado a efectos de considerar si un determinado inmueble constituye o no vivienda habitual en un expediente de venta extrajudicial de bien hipotecado.

 

De dicho informe jurídico se extrae lo siguiente:

 

  • Cualquier comunicación o cesión de los datos del Padrón deberá fundarse en la necesidad por la Administración cesionaria, en el ejercicio de sus competencias, de conocer el dato del domicilio de la persona afectada.

  • En este caso, nos encontramos ante un expediente de venta extrajudicial de un inmueble hipotecado, previsto en el artículo 129 de la Ley Hipotecaria de 8 de febrero 1946.

  • El art. 1858 del Código Civil afirma que “es también de esencia de estos contratos que, vencida la obligación principal, puedan ser enajenadas las cosas en que consiste la prenda o hipoteca para pagar al acreedor”. El procedimiento aparece desarrollado en el RD 6/2012, de 9 de marzo sobre medidas urgentes de protección de deudores hipotecarios sin recursos.

 

Por tanto, esta norma con rango de ley determina que el Notario que tramita el procedimiento ejecutivo extrajudicial de un bien hipotecado deba conocer si el inmueble constituye o no vivienda habitual. Conciliando dicha norma legal con la regulación contenida en la Ley de Bases de Régimen Local antes citada, llegamos a la conclusión de que existe habilitación legal suficiente para, en el seno un procedimiento concreto – como sucede en la consulta planteada – comunicar el dato de empadronamiento.

A TENER EN CUENTA

La cesión de datos requiere siempre del consentimiento del titular o el amparo de alguna de las excepciones previstas.

 

Quiero contratar un servicio de copia de seguridad remota. ¿Qué he de hacer?

 

Un servicio de copia de seguridad remota es un tratamiento de datos por cuenta de terceros (siempre y cuando realicemos copia de seguridad de datos personales).

Es decir, la empresa que nos presta el servicio es un encargado del tratamiento, y como tal, hemos de tener en cuenta los siguientes puntos:

  1. Asegurarnos que cumple la LOPD. El reglamento de desarrollo de la LOPD, en su artículo 20.2 dice: “Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento…”.
    Es decir, es
    nuestra responsabilidad escoger encargados del tratamiento que cumplan la LOPD.

  2. Firmar un contrato de acceso a datos por cuenta de terceros que especifique el servicio, los ficheros afectados, las condiciones del mismo y las medidas de seguridad que debe cumplir.

  3. Indicar en el Documento de Seguridad esta circunstancia (encargado, servicio, implicaciones, etc.).

  4. Asegurarnos por contrato que los datos no salen de la Unión Europea para evitar realizar una Transferencia Internacional de Datos.

A TENER EN CUENTA

 

Realizar una Transferencia Internacional de Datos no autorizada es una infracción Muy Grave y puede suponer una sanción de entre 300.001€ y 600.000 €.

 

 

 

 

 

 

 

 

Read More
Daemon4 - Servicios de Backup Online y Seguridad 2

03 Abr Boletin lopd Marzo 2013

Información adecuada en la recogida de los datos personales

El momento más importante en el correcto cumplimiento de la protección de datos es el momento de la recogida de los datos.

Es en ese momento cuando debemos informar de la finalidad para la cual se recaban dichos datos, quién será el responsable del fichero y cómo se ejercen los derechos de los afectados.

En el caso de que se vaya a producir una cesión de datos (por ejemplo, una agencia de viajes que luego ceda los datos del cliente al tour operador) se deberá informar en el momento de la recogida de los datos (además de solicitar el consentimiento para la misma en los casos que sea necesario).

A modo de checklist, debe verificar que la cláusula informativa indique, como mínimo, la siguiente información:

  • La existencia de un fichero o tratamiento de datos personales.
  • La identidad y domicilio del responsable del fichero.
  • La finalidad a la que se van a destinar los datos.
  • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación.

  • En caso de realizarse una cesión de datos, la finalidad de la misma y el sector al que pertenece el destinatario de la misma.

                                              A TENER EN CUENTA

Solo se pueden utilizar los datos recogidos para las finalidades que han sido declaradas en la recogida de los datos.

Sanción por no atender derecho de cancelación

En la resolución R/03169/2012 de la AEPD se puede ver la sanción que puede sufrir una organización por no atender adecuadamente el ejercicio de un derecho.

Con fecha 23 de abril de 2011, a la una de la madrugada, en el programa “PROGRAMA.1”, en la cadena de TV CUATRO, producido por PULSO CONTENIDOS INFORMATIVOS, S.L. (en lo sucesivo PULSO), se emitieron las imágenes correspondientes a la enfermedad y al proceso quirúrgico del denunciante.

Dichas imágenes se emitieron por primera vez en la misma cadena y en el mismo programa en enero de 2010, y a la vista de las mismas, el denunciante solicitó a la productora y a la cadena de TV, que no se volvieran a emitir sus imágenes ni en televisión ni en la página web de la cadena, y que se destruyeran.

A pesar de su solicitud, las imágenes se volvieron a emitir, por lo que el denunciante presentó ante la AEPD una reclamación de Tutela de Derechos. En respuesta a ésta, PULSO le informa de que han eliminado todos sus datos de sus ficheros y han remontado íntegramente el programa de TV con objeto de que sus imágenes no se vuelvan a emitir.

Sin embargo, CUATRO TV ha vuelto a emitir las imágenes el 23 de abril de 2011, y también en su página de internet en el programa aparecen imágenes del denunciante. Se aporta un acta notarial de la aparición de las imágenes en internet.

Resultado: Sanción de 3.000€ a la entidad PULSO CONTENIDOS INFORMATIVOS S.L., por no haber atendido adecuadamente una petición de cancelación y que ha provocado una infracción del artículo 16.4 de la LOPD, tipificada como grave.

IMPORTANTE

Hemos de atender en tiempo y forma las peticiones de acceso, rectificación, cancelación y oposición que reciba la organización.

Implantación de microchips en personas

El informe jurídico 0292/2010 de la AEPD resuelve la consulta planteada relativa a la comercialización y utilización de microchips intradérmicos mediante los que se podría incorporar información referente a sus portadores, haciéndose referencia en la consulta a datos relacionados con la identificación del interesado, su número de tarjeta de crédito, localización o información médica.

De dicho informe jurídico se extrae lo siguiente:

  1. La lectura de los mencionados microchips por parte de los usuarios de los servicios que podrán implicar su implantación en los individuos implicará la existencia de un tratamiento de datos de carácter personal.
  2. Con carácter general sea preciso para el tratamiento de los datos derivado de la lectura del microchip el consentimiento del interesado.
  3. El consentimiento no sólo debería verificarse en el momento de la implantación del microchip, sino que además debería concurrir en cada tratamiento relacionado con la lectura de los datos que el mismo pudiera contener, dado que dicha lectura podría llevarse a efecto por distintos sujetos.
  4. Que la implantación del microchip y el posterior tratamiento de los datos deberían únicamente ser admisibles en caso de que el mismo resultase imprescindible para la finalidad perseguida, que lógicamente deberá ser lícita. De este modo, si fuera posible reemplazar la citada implantación por otros medios que permitiesen el tratamiento de los datos necesarios para tal finalidad sin necesidad de emplear métodos invasivos, como por ejemplo mediante la existencia de tarjetas inteligentes, cabría entender que el tratamiento llevado a cabo no se encontraría amparado por la legislación

¿Qué se revisa en la Auditoría de protección de datos?

El objetivo de la auditoría de protección de datos es determinar si son adecuadas y si se cumplen las medidas de seguridad que establece la LOPD.

En la auditoría han re recogerse los siguientes datos:

  1. Relación de ficheros, estructura y contenido.

  2. Políticas de seguridad y procedimientos (registro de incidencias, copias de seguridad, borrado de soportes, etc.).
  3. Documento de Seguridad y auditorías anteriores (si las hubiese).

  4. Diseño físico y lógico de los sistemas de información.

  5. Relación de usuarios, accesos autorizados y sus funciones.

  6. Inventario de soportes y registro de entrada y salida de soportes.

  7. Registros de acceso e informes de revisión de los mismos.

  8. Entrevistas a usuarios y responsables.

  9. Inspección visual.

  10. Formularios de recogida de datos, contratos, etc.

El informe de auditoría

Una vez revisados todos los puntos antes indicados, ha de elaborarse un informe que dictamine sobre la adecuación de las medidas de seguridad, identifique deficiencias y proponga medidas correctoras o complementarias.

Dicho informe deberá quedar a disposición de la AEPD.

A TENER EN CUENTA

El responsable del fichero deberá, en base al informe de auditoría, adoptar las medidas adecuadas para corregir las deficiencias detectadas.

Read More
Daemon4 - Software - ERP - lopd

20 Feb Boletin LOPD febrero 2013

Mucho cuidado con los programas para compartir ficheros (eMule, Ares, etc.)

Mucha gente tiene instalado en el ordenador programas P2P como eMule, Ares, Torrent, etc., sin darse cuenta que están expuestos a un gran riesgo, ya que dichos programas se basan en compartir ficheros de una carpeta. Carpeta en la que, accidentalmente podemos colocar cosas que no deben compartirse…

Para muestra, un ejemplo: «En septiembre de 2010 recibí un mensaje de una persona advirtiéndome de que mi DNI estaba en Emule. Mi pareja de entonces recordó que fue él quien lo subió sin mala intención, al escanearme el DNI por un tema laboral y que, al parecer, quedó grabado en la zona de descargas de Emule». De esta forma comienza la palentina S. A. T. Y., de 30 años su angustioso relato por una situación que, lejos de solucionarse, cada día que pasa se complica más a tenor de las denuncias y requisitorias judiciales que le van llegando reclamándole importantes cantidades de dinero.

Y es que, utilizando la imagen escaneada de su DNI han abierto cuentas a su nombre en distintas entidades financieras, así como varios créditos que ahora le reclaman.

Fuente: Diario Palentino.es (15/02/2013).
Para ver la noticia completa pulse aquí.

A TENER EN CUENTA

Si accidentalmente compartimos, por ejemplo, la base de datos de clientes, nos enfrentamos a una sanción de hasta 600.000€.

Sanción por ceder datos de colegiado

En la resolución R/03127/2012 de la AEPD se puede ver la sanción que puede sufrir un colegio profesional por ceder datos personales de un miembro sin recabar su consentimiento.

Con fecha 14/07/2011, tuvo entrada en la AEPD un escrito de DÑA. A.A.A. (en lo sucesivo la denunciante) en el que denuncia que sus datos bancarios han sido facilitados por la entidad COLEGIO OFICIAL DE MÉDICOS DE ALICANTE (en lo sucesivo COLEGIO DE MEDICOS) a la compañía aseguradora AmTrust Europe Limites y a la entidad SEGUROS MEDICOS COLEGIALES ALICANTE, CORREDURIA DE SEGUROS, S.L. (en lo sucesivo SEMECO), que se encarga de la gestión de los seguros médicos.

En su escrito de denuncia añade que, a comienzos de 2011, procedió a la devolución de un recibo cargado en su cuenta bancaria de la entidad CAM de la compañía AmTrust Europe Limites, emitido y tramitado a través de SEMECO y correspondiente a un seguro complementario de responsabilidad civil, que no deseaba seguir manteniendo. Sin embargo, el 17/05/2011 recibe otro cargo en su cuenta de Barckays; cuenta que no había proporcionado a SEMECO.

Durante el procedimiento de inspección, La entidad COLEGIO DE MEDICOS reconoció que facilitó a la entidad SEMECO la cuenta bancaria designada por la denunciante para la domiciliación de la cuota colegial, abierta por la misma en la entidad Barclays Bank, S.A., que había sido aportada por la misma al COLEGIO DE MEDICOS para la domiciliación de la cuota colegial.

Resultado: Sanción de 6.000€ a la entidad COLEGIO DE MEDICOS y sanción de 10.000€ a la entidad SEMECO, por vulneración de los artículos 11 y 6.1 de la LOPD, respectivamente.

IMPORTANTE

La cesión no consentida de datos personales es una de las prácticas que la LOPD pretende erradicar, y por tanto, la que tiene consecuencias más graves.

Tarjetas identificativas de los trabajadores

El informe jurídico 0028/2011 de la AEPD resuelve la consulta planteada sobre si resulta adecuado a la Ley Orgánica 15/1999 (LOPD), la inclusión del nº de D.N.I. y la fotografía, además del nombre y los dos apellidos, en las tarjetas identificativas que los trabajadores deben llevar en lugar visible mientras prestan servicios en la empresa.

De dicho informe jurídico se extrae lo siguiente:

  1. La inclusión del dato de D.N.I. en las tarjetas identificativas del personal no vulnera el principio de proporcionalidad, al no resultar dicho tratamiento excesivo para la finalidad de identificación del personal.
  2. Respecto al tratamiento de la imagen de los trabajadores y la legitimidad para su realización, se señala por la Agencia que “Igual argumentación cabe aplicarse a la inclusión en las tarjetas identificativas de la fotografía del trabajador, no pudiendo al misma considerarse excesiva a los efectos previstos en el artículo 4.1 de la LOPD”.
  3. Por otra parte, la finalidad que justifica la inclusión de los datos del DNI y la fotografía de los trabajadores en sus tarjetas es garantizar su identificabilidad en el desempeño de sus funciones, por lo que el tratamiento de los datos no precisa recabar el consentimiento de los afecta-dos, sin prejuicio del deber de informar a los mismos según el art. 5 de la LOPD.

Por tanto, sí, sería conforme a la LOPD la inclusión de tales datos en las tarjetas identificativas, no considerándose un tratamiento de datos excesivo por la finalidad de cumple de identificación del personal.

Tampoco será necesario el consentimiento por parte del trabajador para tratar dichos datos en base a la relación laboral que les une.

No obstante, sí deberán ser informados en los términos del art. 5 de la LOPD.

A TENER EN CUENTA

Cualquier exposición de datos personales constituye una cesión que debe ser consentida por el titular o estar amparada en alguna de las excepciones previstas por la LOPD.

Tengo una clínica y manejamos informes médicos en Word. ¿Cómo puedo registrar los accesos a los informes?”

Los informes médicos incluyen datos personales de nivel alto. Para cumplir la LOPD se ha de implementar un registro de accesos con las siguientes características:

  1. De cada intento de acceso se guardarán, como mínimo la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
  2. En caso de ser autorizado, se deberá guardar información que permita identificar el registro accedido.
  3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.
  4. El período mínimo de conservación de los datos registrados será de dos años.
  5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

¿Y cómo se puede hacer todo esto?

La mejor opción para poder realizar esto es implantar un software de gestión documental que valide el acceso de cada usuario a los informes y registre cada uno de los accesos, tal y como nos exige la normativa.

A TENER EN CUENTA

Las medidas de seguridad han de implantarse de forma efectiva. No vale solo con tenerlas descritas en el Documento de Seguridad.

 

Read More
Daemon4 - Cursos de Formacion

23 Ene Boletin lopd enero 2013

Tratamientos de datos prohibidos por Ley Orgánica de Protección de Datos

Como sabemos, la LOPD regula el tratamiento de datos personales realizado por las entidades (tanto públicas como privadas), empresas y organizaciones (asociaciones, fundaciones, etc.).

Sin embargo, podría darse el supuesto que una organización recopilase masivamente datos sensibles de los ciudadanos para darlos un uso cuanto menos cuestionable.

A estos efectos, y con objeto de proteger a los ciudadanos de esta posible práctica, la LOPD prohíbe expresamente los ficheros creados en la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico o vida sexual.

Es decir, no se pueden crear fichero cuya única finalidad sea recoger estos datos sin que exista ninguna otra finalidad que la simple recogida y almacenamiento de estos datos.

Esto se aplica tanto a ficheros automatizados (los que se conservan en soportes informáticos) como a ficheros no automatizados (los que se conservan en soporte papel).

A TENER EN CUENTA

Hay que tener muy clara la finalidad de la recogida de los datos personales e informarla adecuadamente.

 

Sanción por mandar correos utilizando el campo CC

En la resolución R/02997/2012 de la AEPD se puede ver la sanción que puede sufrir una empresa por mandar correos electrónicos a varios destinatarios utilizando el campo Con Copia (CC), en lugar de utilizar Con Copia Oculta (CCO).

Con fecha 31 de mayo de 2012 se recibe en el registro de la Agencia Española de Protección de Datos un escrito de reclama-ción de A.A.A. en el que se pone de mani-fiesto los siguientes hechos. El día 25 de mayo de 2012, la denunciante ha recibido en su dirección de correo electrónico xxx@yahoo.com un correo remitido desde la dirección xxx@santamarialareal.org en el que figuran las direcciones de correo de aproximadamente 1000 personas. La denunciante manifiesta que, con anteriori-dad a la fecha de envío del correo, había adquirido una colección de DVD’S a dicha entidad facilitando su dirección de correo electrónico.

La dirección de correo electrónico, considerando que contiene información acerca de su titular, o en la medida en que permita proceder a la identificación del mismo, ha de ser considerada como dato de carácter personal y su tratamiento sometido a la LOPD.

Durante el procedimiento de inspección, ha quedado acreditado en el expediente que el denunciante recibió un correo electrónico remitido por el denunciado, donde se visualizaban datos personales de múltiples personas, (direcciones de correo electrónico) (incluido el suyo propio) por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD.

Resultado: Sanción de 2.000€ por una infracción del artículo 10 de la LOPD, tipificada como grave.

 

IMPORTANTE

Siempre hemos de utilizar el campo CCO (Con Copia Oculta) para hacer envíos masivos de correos electrónicos.

 

Subcontratación con empresa mexicana

El informe 0352/2011 de la AEPD resuelve la consulta planteada: la consultante indica que desea subcontratar con una empresa mexicana una parte de las tareas, para ello ha ideado un procedimiento que somete a la consideración de esta Agencia a efectos de determinar si puede considerarse como un procedimiento de disociación, de manera que no se aplique lo previsto en la normativa de protección de datos respecto de los movimientos internacionales de datos y de la figura de subencargado de tratamiento.

De dicho informe jurídico se extrae lo siguiente:

  1. Se plantea si puede considerarse un procedimiento de disociación el consistente en escanear un fichero que contiene datos y asignar a cada registro un identificador único. Posteriormente se trocearía la imagen, apareciendo en cada fragmento un dato aislado al que se le asignaría un código único. Dichas imágenes troceadas se envían a una empresa subcontratada sin que se le envíe el identificador único asignado a cada registro, de manera que no pueda asociar las imágenes correspondientes a una misma persona. Ahora bien, habrá datos que identificarán por si mismos directa o indirectamente a una persona, como es el número del DNI. Por tanto, este proceso de troceado del registro permite que algunos datos identifiquen directa o indirectamente a una persona, lo que imposibilita calificar a dichos datos como disociados.
  2. Teniendo en cuenta que los datos van a ser transmitidos a México, estaremos ante una transferencia internacional de datos por parte del encargado del tratamiento.

Por tanto, las empresas que contraten con el consultante la informatización de sus ficheros, que serán las obligadas en solicitar la autorización del Director de la Agencia y aportar las adecuadas garantías para la ello.

A TENER EN CUENTA

Siempre que se envíen datos a otro país debemos tener en cuenta que podemos estar realizando una Transferencia Internacional de Datos (TID).

 

¿Cuáles son los datos que se mandan a la Agencia Española de Protección de Datos al inscribir un fichero?

Los ficheros que maneja una organización se notifican al Registro General de Protección de Datos (RGPD).

La notificación de inscripción de un fichero contiene los siguientes campos:

  • Identificación del responsable del fichero.
  • Identificación del fichero.
  • Finalidades y usos previstos.

  • Sistema de tratamiento empleado.

  • Colectivo de personas sobre las que se obtienen los datos.

  • Procedimiento y procedencia de los datos.

  • Estructura básica del fichero, descripción detallada de los datos identificativos, y en su caso, de los especialmente protegidos, así como las categorías de datos incluidas en el mismo.

  • Las cesiones o comunicaciones de datos previstas.

  • Las trasferencias internacionales de datos.

  • Los servicios o unidades ante los que pueden ejercerse los derechos de acceso, rectificación, cancelación y oposición.

  • La identificación del encargado del tratamiento, en su caso.

  • La indicación del nivel de medidas de seguridad básico, medio o alto exigible.

A TENER EN CUENTA

Los ficheros han de notificarse a la Agencia Española de Protección de Datos ANTES de su creación.

 

 

Read More
Daemon4 - Contabilidad Contadoc

01 Oct Jornada en Yecla sobre fiscalidad de la retribución de socios y administradores

Jornada en Yecla sobre fiscalidad de la retribución de los socios y administradores y formas de financiación no bancaria de A.D.E ASESORES

10 de Octubre de 2012, de 16:30 a 18:30.
Aula de Formación de ADE Asesores, sito en
Camino Real 30 Bajo, en Yecla (Murcia).

Retribuciones de los Socios y/o Administradores

La Agencia Tributaria, el pasado mes de marzo publicó una nota aclaratoria referente al tratamiento fiscal y al criterio que aplicará a la tributación de las remuneraciones que los socios perciben de sus sociedades, criterio hasta la fecha en entredicho, y que  parece haberse aclarado. Tanto la empresa como el socio, habrán de tener en cuenta una serie de consideraciones a la hora de declarar estas retribuciones y su correspondiente retención, en el Impuesto sobre la Renta de las Personas Físicas, y su posterior deducibilidad en el Impuesto de Sociedades.
Ello puede suponer cambios en las nóminas de los socios y modificaciones en los Estatutos de la sociedad a realizar con Urgencia.

Líneas de Financiación No Bancaria

El crédito bancario a las pymes no se va a reactivar hasta que la banca
española no resuelva sus propios problemas, esto obliga a todas aquellas
pymes que quieran sobrevivir a buscar vías alternativas de financiación fuera
del sistema financiero.

A partir de esta necesidad vamos a introducir brevemente las otras vías de
financiación que hay disponibles en el mercado: préstamos concedidos
directamente por el Ministerio de Industria, mercado de renta fija para pagarés
de empresa, business angels, o “capital semilla”, entre otros.

Programa:

16:30  Retribución de socios y administradores:
–  Repercusiones en la tributación en el Impuesto sobre la Renta de las Personas Físicas.
–  Deducibilidad de las retribuciones en el Impuesto sobre Sociedades.
–  Repercusiones en la Exención en el Impuesto sobre Sucesiones y Donaciones.

17:15  Pausa – Café.

17:30 Vías de financiación no bancaria para pymes:
–  Mercado de renta fija para pagarés de empresa y facturas a corto plazo.
–  Fondo de titulización de activos para pymes.
–  Capital semilla: el ICO y el Fondo Europeo de inversiones para socios.

18:15 Coloquio

Ponentes

José Luis Soriano Morata.
Asesor Fiscal.
Licenciado en Administración y Dirección de Empresas.

José Andrés Santa.  
Asesor Financiero Independiente – €FA.
Economista.

 

Inscripción

La inscripción es gratuita, a los asistentes se les hará entrega de un dossier.

Se ruega que confirmen la asistencia antes del día 5 de octubre llamando a los teléfonos 968751890 o 656378834, al fax 968750966, o al  e-mail: administrador@adesoriano.com

Dirigido especialmente a pymes de carácter mercantil.

AFORO LIMITADO.

 

Read More
Daemon4 - Formación Cursos

17 Mar Catálogo de cursos de formación de Software

 

La formación y el reciclaje del personal en la empresa es necesaria e imprescindible para la evolución de la misma.

En Daemon4 apostamos por la formación, es por ello por lo que ofrecemos cursos de todos nuestros programas informáticos, en varios niveles (basico, medio y superior) y en diferentes formatos: presencial, telemático o a distancia.

Es crucial que cada persona que entre en contacto con su software de gestión esté totalmente formado en las funcionalidades y capacidades disponibles para permitirle llevar a cabo su función dentro del equipo. A la larga, el éxito de una nueva instalación puede depender de la calidad y nivel de la formación que se ha recibido.

Daemon4 puede presumir de un equipo de consultores e implantadores, con una amplia experiencia en la implementación de soluciones de software empresarial utilizando su conocimiento y experiencia en beneficio de nuestro clientes.

Puede conseguir información ampliada de nuestro catálogo de cursos pulsando en este enlace.

Read More

Utilizamos cookies propias y de terceros para recoger información analítica sobre el uso de la web, si continúa navegando, acepta nuestra política de cookies, su instalación y uso. Puede cambiar la configuración u obtener más información sobre las cookies aquí.

ACEPTAR
Aviso de cookies