lopd Tag

15 Jun LA AEPD ACLARA

Grabación de asambleas en una asociación

El informe jurídico 0112/2009 de la AEPD resuelve la consulta planteada sobre si la grabación con medios audiovisuales de las Asambleas que celebre una asociación o una Federación, es conforme con la LOPD.
De dicho informe jurídico se extrae lo siguiente:

a) La LOPD en su artículo 3c) considera la “grabación” como un tratamiento de datos de carácter personal sometido pues a la Ley.

b) El derecho a la protección de datos personales es un derecho fundamental, siendo esencial conocer la finalidad y la proporcionalidad en el tratamiento de dichos datos.

c) El responsable del fichero, deberá obtener el consentimiento del interesado para el tratamiento o cesión de los datos; de informarle sobre los derechos que le asisten; de la identidad y dirección del responsable y del uso que se va a dar a esos datos.

d) Existen una serie de excepciones a la necesidad de consentimiento para el tratamiento, entre ellas cuando los datos se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

CONCLUSIÓN: La grabación de voces o imágenes requerirá el consentimiento de los interesados, salvo que dicho tratamiento conste en los estatutos de la Federación, ya que el asociado por el hecho de adquirir tal condición, deberá conocerlos y aceptarlos.

IMPORTANTE

La incorporación de una persona a una asociación o federación implica la creación de una relación jurídica entre ambos, cuyos términos serán fijados por los propios Estatutos.

Read More

12 Jun SANCIONES DE LA AEPD

Sanción por envío masivo de correos comerciales

En el procedimiento sancionador PS/00454/2014

de la AEPD podemos ver la sanción que sufre una compañía aérea a la que se solicitó el cese del envío de publicidad comercial, continuando el denunciante recibiendo correos electrónicos, a pesar de que la entidad le confirmó la baja en los mismos.

Según los hechos, notificado el acuerdo de inicio del procedimiento sancionador, la entidad alegó que el envío del correo electrónico objeto de denuncia se debió a una incidencia en el sistema de envío de newsletter que fue corregido de forma urgente el día en que fue detectado.

En fechas posteriores, la entidad remitió nuevos correos electrónicos comerciales a la dirección de correo del denunciante.

Ante el requerimiento de la AEPD, la entidad emisora de los correos manifiesta la ausencia de intencionalidad y de culpabilidad en su conducta, ya que debido a una deficiencia técnica, la solicitud de oposición no había sido correctamente ejecutada por el sistema.

A pesar de no existir dolo por la imputada sí existe responsabilidad en la comisión de la infracción ya que la imputada no adoptó todas las medidas necesarias para tramitar las bajas en el envío de comunicaciones publicitarias.

Resultado: Sanción de 3.500 € por una infracción del artículo 21.1 de la LSSI, tipificada como leve.

Read More

10 Jun LA LOPD EN EL DÍA A DÍA

Qué son ficheros de morosos

Los “ficheros de morosos” son listas automatizadas con datos personales que permiten a las entidades financieras, compañías de telecomunicaciones, editoriales, etc… conocer la solvencia de sus clientes y potenciales clientes; quiénes de ellos han incurrido en morosidad y en qué cuantía con el fin de evitar posibles riesgos.

Estos ficheros se encuentran regulados en el artículo 29.2 de la LOPD y 37.3 del RDLOPD.

Para que una empresa pueda incluir datos en un fichero de morosos, han de darse los siguientes requisitos:

.Que exista una deuda cierta, vencida y exigible que haya resultado impagada.

• Que no hayan transcurrido más de seis años desde la fecha en la que tenía que haberse pagado la deuda o desde la fecha en la que vencía esa obligación o del plazo concreto si se trataba de una deuda de vencimiento periódico.

• Requerimiento previo de pago a quien corresponde pagar la deuda.

• Deberá notificarse a los interesados en un plazo de 30 días desde su registro, indicando los datos incluidos y su derecho a recabar información sobre los mismos.

IMPORTANTE

No hay que confundir los “ficheros de morosos” regulados por el artículo 29 de la LOPD con los datos que una entidad trata referentes a sus clientes deudores.

 

Read More

08 Jun EL PROFESIONAL RESPONDE

¿Cuánto tiempo he de conservar los Datos Personales?

El tratamiento de los datos personales se rige entre otros, por el principio de calidad de datos establecido en el artículo 4 de la Ley 15/1999, dentro del cual, se incluye el deber de mínima conservación, estableciendo que los datos de carácter personal recogidos para su tratamiento habrán de ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No obstante, el artículo 16.5 de la citada Ley, prevé que dichos datos deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
Concluida la relación negocial, procede la cancelación de los datos que deberá realizarse mediante el bloqueo de los mismos, quedando sólo a disposición de las Administraciones públicas, Jueces y Tribunales, para atender las posibles responsabilidades derivadas de dicha relación durante el plazo de prescripción de aquéllas.
Finalizado dicho plazo de prescripción, los datos deberán ser destruidos, pudiendo conservarse disociados previamente o si se decide el mantenimiento íntegro de los mismos con carácter excepcional atendido a los valores históricos, estadísticos o científicos según la legislación específica.

A TENER EN CUENTA

No existe un plazo fijo estándar definido por Ley para la conservación de los datos personales. Depende del tipo de datos almacenados y su finalidad.

Read More

05 Jun LA AEPD ACLARA

Naturaleza pública o privada de los ficheros

El informe 0068/2010 de la AEPD resuelve la consulta planteada acerca de la naturaleza pública o privada de los ficheros de Colegios Profesionales o Consejos Generales.

Para el ejercicio de su actividad, estos entes necesitan tratar datos personales, por lo que dependiendo de si la actividad que desarrollen es administrativa o privada, podrán tener ficheros de dos naturalezas, públicos o privados.

• Serán ficheros de titularidad pública sujetos al régimen establecido en el art. 20 y ss. de la LOPD, y 52 del RDLOPD, aquellos creados como consecuencia del ejercicio de potestades o competencias públicas o administrativas. Por ejemplo, el fichero COLEGIADOS, los relativos al ejercicio de la potestad disciplinaria o el de visados colegiales.

• Serán ficheros de titularidad privada, sujetos al régimen del art. 25 de la LOPD, los creados con la única finalidad de llevar a cabo la gestión interna del ente o de adoptar mecanismos que faciliten el desempeño de la profesión colegiada cuando su adopción no implique el ejercicio de potestades administrativas ni lleve aparejada la existencia de un acto administrativo. Por ejemplo, el fichero LABORAL, CLIENTES o CURRICULUM.

A TENER EN CUENTA

Los ficheros de estas entidades, serán públicos o privados según la naturaleza pública o privada de las finalidades que justifiquen su tratamiento.

 

Read More

04 Jun SANCIONES DE LA AEPD

Sanción por no atender el requerimiento del Director de la AEPD

En el PS/00331/2013 de la AEPD, vemos como la Agencia puede apercibir y sancionar a un particular por colocar un sistema de videovigilancia en su vivienda captando imágenes de la vía pública, incumpliendo lo previsto en el artículo 6.1 de la Ley Orgánica 15/1999.

Según los hechos, el Director de la AEPD apercibió al denunciado para que en el plazo de un mes, justificase la retirada de la cámara de la fachada de su vivienda o su reorientación, de forma que sólo captase su espacio privativo y advirtiéndole que en caso contrario, se procedería a acordar la apertura de un procedimiento sancionador.

Ante la falta del cumplimiento requerido, se inicia un Expediente de Actuaciones Previas de Investigación por el Director de la AEPD del que se desprende que el denunciado no ha adoptado las medidas correctoras solicitadas haciendo caso omiso, y ante esta falta de atención al requerimiento del Director de la AEPD, se resuelve imputar al denunciado por no atender al requerimiento de la autoridad en materia de Protección de Datos.

Resultado: multa de 1.000 € por infracción del artículo 37.1.f) de la LOPD, tipificada como grave.

IMPORTANTE

La captación de imágenes de la vía pública para garantizar la seguridad y la prevención de delitos, corresponde en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado.

Read More

03 Jun LA LOPD EN EL DÍA A DÍA

Prestación de un servicio de alojamiento web en el
extranjero

A la hora de contratar el hosting por parte de una entidad, es necesario conocer el lugar donde se encuentran físicamente los servidores donde va a estar alojada la información.
La Ley Orgánica 15/1999 considera esta prestación de servicios como un encargo del tratamiento, y si el tránsito de datos se realiza fuera de la Unión Europea (salvo los supuestos previstos en la Ley), una Transferencia Internacional de Datos.
Para que dicha prestación sea conforme a la Ley Orgánica de Protección de Datos, el Responsable de los mismos, deberá:
• Cumplir con la LOPD, informando a la AEPD en la inscripción de los ficheros de dicha circunstancia, indicando el país de destino y las categorías de destinatarios.
• Solicitar la Autorización previa del Director de la AEPD.
• Acreditar que se cumplen las garantías adecuadas aportando el contrato de encargado celebrado en los términos previstos en las Decisiones de la Comisión Europea 2001/497/CE y 2004/915/CE que modifica la anterior.

IMPORTANTE

Lo recomendable para contratar la prestación de este tipo de servicios de almacenamiento de datos es realizarlo con empresas ubicadas en España.

Read More
Protección de datos

10 Mar EL 95% de las pymes podrían ser multadas con 300.000 €

El Sector del mueble especialmente sensible a este hecho

Se debe al incumplimiento de la LOPD, según Equal y la Asociación Profesional de la Privacidad de Castilla La Mancha

 

Daemon4 pone a su disposición su servicio LOPD MANAGER para auditar su empresa e implantar la Ley Orgánica de Protección de Datos, especialmente en el sector del Mueble (fabricación, almacenaje, distribución, logistica…).

Un 95% de las pymes incumplen la ley en cuanto a la privacidad de datosy podrían ser sancionadas con multas de hasta 300.000 euros, según un dato facilitado por la Asociación Profesional de la Privacidad de Castilla La Mancha y que recoge Equal.

Es conocido que todas las empresas, profesionales y administraciones publicas que tengan la titularidad de datos de carácter personal han de cumplir una serie de exigencias que recoge la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Sin embargo aún siguen siendo muchas las compañías que desconocen su funcionamiento.
Nuestros clientes del sector del mueble los últimos años nos solicitan a Daemon4 el servicio de auditoría e implantación de la famosa ley. Se va tomando consciencia poco a poco de la necesidad de tener resuelta esta faceta relativa a los datos personales, y quién mejor para solucionar este problema que su empresa consultora en tecnologías de la información.

La mayoría de las PYMES (95%) incumplen la ley con faltas catalogadas como graves o muy graves según el baremo que recoge la LOPD. En realidad el 70% de las infracciones cometidas cuentan con la calificación de graves o muy graves. Las sanciones oscilan en el caso de las primeras entre los 40.001 y los 300.000 euros, mientras que las muy graves van desde los 300.001 hasta los 600.000 euros.
Estos datos se extraen de un estudio realizado por la Asociación Profesional de la Privacidad de Castilla La Mancha. Se contó para ello con la colaboración de 200 compañías.

Estas cifras se consideran extrapolables al resto de las empresas que hay en España, incluido el sector del mueble, según los estudios que tiene la AEPD. Advierten de la necesidad de cumplir con la normativa para evitarse en el futuro posibles multas económicas. Desde Equal apuntan que en la mayoría de las ocasiones, “esas infracciones se producen como consecuencia de actuaciones negligentes ocasionadas por la falta de conocimiento de la normativa o por no haber adoptado las medidas impuestas por la misma”. Advierten de que el desconocimiento de una ley “no exime de su cumplimiento”.

Por ello, y desde hace años, a petición de nuestros clientes, en Daemon4 ofrecemos especialmente para el Sector del Mueble  (fabricación, almacenaje, distribución, logistica…) nuestro servicio de auditoría en materia de protección de datos, realizándole la implantación de la ley en su empresa y facilitando toda la documentación física necesaria, comunicando los ficheros de carácter personal a la Agencia Española de Protección de Datos (AEPD), generando el documento de seguridad de su empresa y dando de alta en nuestra plataforma virtual “LOPD MANAGER” toda su documentación para poder actualizarla y realizar auditorías de la mejor forma posible.

No se arriesgue a padecer las duras sanciones arriba mencionadas y póngase en contacto con nosotros.

Read More
Daemon4 Servicio Asesoría LOPD

24 Feb EL PROFESIONAL RESPONDE

¿Es necesario añadir la cláusula informativa en las nóminas de los empleados?

El artículo 5.1 de la LOPD establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de al menos:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
c) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Si además, los datos de los empleados van a ser cedidos, o comunicados a otra entidad, deberá informarse también de a quién se van a ceder y la finalidad de dicha cesión.
Por tanto, habrá que incluir la cláusula informativa bien en el contrato, en la nómina o en cualquier otro documento que se le entregue al empleado, (no siendo obligatorio que aparezca en todos ellos), y en aquellos en donde se le recojan datos personales, de forma que el empresario informe en todo momento al trabajador de los extremos señalados anteriormente y, llegado el caso, pueda demostrar a la AEPD que ha cumplido con el deber de información exigido por la Ley.

                                   IMPORTANTE

Todos los formularios vacíos donde se recojan datos personales deben contener la cláusula legal informativa.

Read More
qode interactive strata

17 Feb LA AEPD ACLARA

Quién debe cumplir con la LSSI?

El informe Jurídico 0083/2014

de la AEPD aclara cuál es el ámbito subjetivo de aplicación del artículo 22.2 de la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de comercio electrónico (LSSI), cuestionándose si este se aplica sólo a los prestadores de servicios de la sociedad de la información o a cualquier servicio de comunicaciones electrónicas que instale cookies.
El precepto comienza delimitando quiénes serán los obligados por la norma que podrán utilizar dispositivos de almacenamiento y recuperación de datos, hablando de “los prestadores de servicios”.

El Anexo c) de la LSSI define al prestador de servicios como la “persona física o jurídica que proporciona un servicio de la sociedad de la información”, y por servicio de la sociedad de la información el Anexo a) entiende “todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario”.

El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

                                IMPORTANTE

Un servicio o página web está incluido dentro del ámbito de aplicación de la LSSI si constituye una actividad económica para su prestador (ej: publicidad).

 

Read More
Daemon4 - Software - ERP - lopd

10 Feb SANCIONES DE LA AEPD

La AEPD multa a “El Cobrador del Frac” con 50.000 euros

En el procedimiento sancionador PS/00163/2014,

la Agencia Española de Protección de Datos (AEPD) sanciona con sendas multas de 50.000 euros a la entidad El Cobrador del Frac como gestor del cobro, y a Gestión y Recuperación M-1 como responsable de los ficheros por una infracción del artículo 9 de la Ley Orgánica de Protección de Datos (LOPD), el cual garantiza “la adopción de las medidas necesarias para salvaguardar los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado”.

La resolución de la Agencia de Protección de Datos, entiende que El Cobrador del Frac, colocó un cartel en el portal del acreedor al que reclamaba la deuda, en el que se desvelaba su situación de morosidad poniéndolo en conocimiento de terceras personas.
Llama la atención de la sanción, que el propio denunciante se desdijo de su demanda mediante un escrito, no considerando vulnerada su privacidad y honor. Sin embargo, entiende la AEPD que el «desistimiento, la renuncia o el retracto negando el afectado lo manifestado en su escrito de denuncia, resulta irrelevante a los efectos estudiados».
Resultado: Multa a El Cobrador del Frac, S.A., y a Gestión y Recuperación M-1 de 50.000 € según lo establecido en el artículo 45.4 de la Ley Orgánica de Protección de Datos por una infracción tipificada como grave.

                              IMPORTANTE

Tanto responsable del fichero como encargado del tratamiento deberán adoptar las medidas que garanticen la seguridad de los datos personales.

Read More
Daemon4 - Formación Cursos

03 Feb LA LOPD EN EL DÍA A DÍA

Comunicación de datos entre empresas: ¿cesión o encargo?

Es práctica habitual entre empresas la comunicación de datos entre ellas: para contratar la gestión de la contabilidad o las nóminas con la asesoría; informar de la situación de los trabajadores a la contratista; compartir la base de datos de clientes de un grupo de empresas, etc…
Todas ellas, tienen en común la transmisión de datos entre entidades. Sin embargo, de cara a la LOPD no se gestionan de igual forma. Hemos de distinguir dos figuras bien distintas:
Habrá cesión o “comunicación de datos”, según el artículo 11 de la LOPD, cuando la empresa responsable de los datos personales, los cede a otra para una finalidad concreta o de modo general, obligándose pues quien los recibe a observar las disposiciones de la Ley, convirtiéndose así también en Responsable de los datos.
Para que la cesión sea lícita, deberá recogerse el consentimiento informado previo del titular de los datos.
Por el contrario, habrá encargo del tratamiento, según el artículo 12 de la citada Ley, cuando quien recibe los datos sólo pueda utilizarlos de acuerdo a las instrucciones dadas por el Responsable del fichero para la prestación de un servicio. En este caso, la relación entre ambas habrá de regularse a través de un contrato.

                                 IMPORTANTE

En la transmisión de datos entre entidades, habrá que diferenciar la mera cesión o comunicación de datos de un encargo del tratamiento.

Read More
Daemon4 - Servicios Varios b-n

30 Ene EL PROFESIONAL RESPONDE

¿Puedo tener varios Documentos de Seguridad?

Tal y como establece el RD1720/2007, el responsable del fichero o tratamiento, deberá elaborar un Documento de Seguridad que recogerá las medidas de índole técnica y organizativas acordes a la normativa de seguridad vigente, y será de obligado cumplimiento para el personal con acceso a los sistemas de información

El Documento de Seguridad podrá ser único y que comprenda todos los ficheros y tratamientos, o elaborar distintos documentos individualizados por cada fichero o agrupando varios según las características de la organización.
De esta forma, se podrán elaborar documentos:

Por fichero o tratamiento.
Por áreas funcionales.
Por áreas geográficas.
Por sistemas de tratamiento.

En todo caso, el Documento de Seguridad tendrá carácter de documento interno de la organización, y se puede elaborar con el criterio que mejor convenga, pero no podemos olvidar que debe estar actualizado en todo momento.

Cuanta más dispersión exista, mayor dificultad presentará su actualización.
El Documento de Seguridad deberá estar a disposición de la AEPD en caso de que llegase a requerirlo.

                                       IMPORTANTE

El Documento de Seguridad debe ser “manejable”, ya que exige de una actualización regular.

 

Read More
Solicite a nuestros técnicos asistencia remota.

26 Ene LA AEPD ACLARA

Comunicaciones de datos en accidentes

El informe 0411 de la AEPD resuelve la consulta planteada sobre diversas dudas en relación con la aplicación de la LOPD a las comunicaciones de datos relativos a accidentes de tráfico a las compañías aseguradoras o abogados defensores de los implicados en ellos.

De dicho informe jurídico se extrae lo siguiente:

a) No será preciso el consentimiento de los interesados para que puedan cederse los datos relativos a los accidentes de tráfico por la policía local a las compañías aseguradoras, ya que las normas legales examinadas ampararían la cesión inconsentida, tal y como dispone 11.2.a) de la LOPD, en cuanto, como se señala en la Resolución transcrita, dichas compañías deben recabar y conservar la información necesaria en relación con la indemnización que debe abonarse a terceros como consecuencia de un seguro de responsabilidad civil.

b) La cesión de los datos referidos al accidente a los particulares o sus representantes se encontraría habilitada por lo dispuesto en el artículo 11.2.a de la LOPD sin precisar el consentimiento del afectado, dado que existen dos normas con rango de Ley que dan cobertura al acceso por el particular a los datos necesarios para exigir, mediante el ejercicio de una acción directa, el abono de la indemnización que proceda.

c) Respecto a qué datos pueden comunicarse, deberá limitarse a los datos que sean necesarios, en cada caso, en relación con las finalidades que justifican y habilitan dicha comunicación.

                              IMPORTANTE

El envío de datos de nivel alto por medios telemáticos ha de hacerse cifrando dichos datos.

Read More
q

19 Ene SANCIONES DE LA AEPD

Sanción por facilitar número de teléfono

En el procedimiento sancionador PS/00746 de la AEPD podemos ver la sanción que puede sufrir una entidad por facilitar un número de teléfono de un asociado a otro sin obtener previamente su consentimiento para ello.

Con fecha 15/07/2009, tuvo entrada en esta Agencia Española de Protección de Datos un escrito de D. C.C.C., en el que denuncia a la entidad Real Club Náutico de Gran Canaria (en lo sucesivo CLUB NÁUTICO), al que pertenece en calidad de socio, por la indebida utilización de su dato personal relativo al número de telefonía móvil, que, en fecha 13/10/2008, fue facilitado sin su consentimiento por el Presidente de dicha entidad a otro socio, con el propósito de que éste contactase con el denunciante para resolver unos incidentes personales acontecidos en el mencionado Club, según consta en la comunicación que el citado Presidente le remitió en fecha 08/06/2009, de la que aporta copia.
Durante la inspección, se pudo probar que el dato personal del denunciante relativo a su número de telefonía móvil, en fecha 13/10/2008, fue facilitado sin su consentimiento por el Presidente del CLUB NÁUTICO a otro socio, con el propósito de que éste contactase con el denunciante para resolver unos incidentes personales acontecidos en los locales del mencionado Club.

Resultado: Sanción de 601,01 € por vulneración del artículo 4.2 de la LOPD, relativo a la calidad de los datos, y en concreto a la utilización de los mismos para finalidades incompatibles con aquellas para las que los datos han sido recogidos.

                                   IMPORTANTE

Antes de facilitar a otro cualquier dato personal de un individuo, hemos de preguntarnos si podemos (y debemos) hacerlo.

 

Read More
q

12 Ene LA LOPD EN EL DIA A DIA

Cómo proteger el acceso a los datos en formato automatizado (parte I)

El responsable del fichero debe establecer e implantar mecanismos que impidan el acceso por el personal no autorizado a los ficheros.
En el caso de ficheros automatizados, debe establecer mecanismos de seguridad con el criterio de “todo lo que no está explícitamente autorizado, está prohibido”.
Para ello, se debe seguir una política de “arriba-abajo”, es decir, protegiendo el acceso al servidor y sus recursos, seguir con las aplicaciones de gestión utilizadas y terminar protegiendo el acceso a los puestos de trabajo.
Proteger el acceso al servidor
Proteger el acceso físico: Se debe situar el servidor en una sala cerrada con llave o algún otro mecanismo similar. Únicamente debe disponer de la llave el personal informático debidamente autorizado.
Proteger el acceso lógico: Se debe proteger el acceso al sistema operativo del servidor. Se debe eliminar o proteger con contraseña fuerte todas las cuentas que se crean por defecto, asegurándonos de que no queda ninguna sin proteger.
(Continuará)

                                 IMPORTANTE

Las cuentas por defecto, con contraseñas conocidas, son las que suelen aprovechar terceras personas para acceder a los recursos no autorizados.

Read More
Protección de datos

24 Dic EL PROFESIONAL RESPONDE

¿Qué he de hacer para poder publicar los datos de mis clientes en mi pagina web?

Un profesional que presta servicios de coaching quiere publicar en su página web los datos personales de sus clientes, junto con el servicio que les ha prestado y los logros que les ha ayudado ha alcanzar con el fin de obtener más credibilidad y captar más clientes.
Para ello, como es lógico, consulta antes de hacer nada a su consultor de protección de datos.
Y esto es lo que le responde:

a) La publicación de los datos personales de sus clientes en internet implica la existencia de una cesión de datos de carácter personal.

b) Toda cesión de datos debe obtener el consentimiento previo del interesado salvo que se dé cualquiera de los supuestos del artículo 11.2 de la LOPD.

c) En este caso en concreto, ha de obtener previamente el consentimiento de los clientes cuyos datos quiere publicar, advirtiendo en dicho consentimiento que el cliente tiene el derecho de revocar, en cualquier momento, el consentimiento que está otorgando.

d) El sitio web que utiliza para dar a conocer su actividad y captar clientes debe estar correctamente adecuado a la LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).

IMPORTANTE

La cesión de datos sin el necesario consentimiento es una de las infracciones más graves en el cumplimiento de la LOPD.

Read More

17 Dic LA AEPD ACLARA

Medidas de seguridad y tarjetas de implante

El informe 0410 de la AEPD resuelve la consulta planteada sobre el nivel de seguridad debe aplicarse a un fichero que contiene los ejemplares de las tarjetas de implantación, cumplimentados de conformidad con lo previsto en el artículo 33 del Real Decreto 1591/2009, de 16 de octubre, por el que se regulan los productos sanitarios.

De dicho informe jurídico se extrae lo siguiente:

a) Las medidas de nivel alto se aplicarán, entre otros, en los siguientes ficheros o tratamientos de datos de carácter personal: Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

b) Son datos de salud “las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.”

c) Según señala la legislación, la tarjeta de implantación incluirá al menos el nombre y modelo del producto, el número de lote o número de serie, el nombre y dirección del fabricante, el nombre del centro sanitario donde se realizó la implantación y la fecha de la misma, así como la identificación del paciente (documento nacional de identidad, número de pasaporte), y será cumplimentada por el hospital tras la implantación.

d) Por tanto, deberán de aplicarme a este fichero medidas de seguridad de nivel alto.

IMPORTANTE

Una correcta identificación del nivel de seguridad de los ficheros que se tratan es la base de la implantación de la LOPD en una organización.

 

 

Read More

10 Dic SANCIONES DE LA AEPD

Sanción por envío de comunicaciones comerciales por mail

En el procedimiento sancionador PS/00161/2014 de la AEPD podemos ver la sanción que puede sufrir una empresa por enviar correos comerciales no deseados a una dirección de correo.

Según se detalla en el procedimiento, con fecha de 10 de febrero de 2014 tiene entrada en esta Agencia un escrito de D.D.D. en el que declara: <<Reiteración de envíos de publicidad no autorizada incluso habiendo solicitado la baja y confirmado por ellos mismos.>>.

El denunciante aportó como prueba un total de siete correos remitidos por la empresa denunciada. En algunos de los correos no constaba un medio de oposición o baja para la recepción de comunicaciones comerciales.

Solicitada información a R Cable y Telecomunicaciones Galicia S.A. acerca del titular de la dirección IP I.I.I., la entidad informa que dicha dirección estaba asignada al denunciado en los días y horas en que fueron emitidos los mensajes.

En la inspección quedó acreditado que la empresa denunciada remitió siete comunicaciones comerciales por medios electrónicos sin la autorización previa y expresa del destinatario y sin acreditar la existencia de una relación comercial previa de servicios similares a los ofrecidos en los correos. Asimismo no consta en los correos electrónicos de fechas 10/02/2014 y 6/03/2014 un medio de oposición o baja para la recepción de comunicaciones comerciales, tal como exige el último párrafo del art. 21.2 LSSI.

Resultado: sanción de 6.000 € por infracción del artículo 21 de la LSSI, tipificada como leve.

IMPORTANTE

Las infracciones de la LSSI es uno de los motivos más frecuentes de sanción por parte de la Agencia Española de Protección de Datos.

Read More
Daemon4 - Software - ERP - lopd

03 Dic LA LOPD EN EL DÍA A DÍA

Cláusula informativa de la protección de datos incluida en las facturas

El artículo 5.1 de la LOPD establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de al menos:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

c) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Por tanto, es recomendable (que no obligatorio) incluir la cláusula informativa en las facturas y/o documentos que se le entreguen al cliente y aquellos en donde se le recojan datos personales, de forma que estemos informando en todo momento al cliente de los extremos señalados anteriormente y, llegado el caso, podamos demostrar a la AEPD que hemos cumplido con el deber de información exigido.

IMPORTANTE

En caso de controversia entre las partes, la Agencia Española de Protección de Datos se ceñirá a las pruebas documentales. Cuanto más documentado esté todo, mejor.

Read More
Daemon4 Servicio Asesoría LOPD

25 Nov LOPD: EL PROFESIONAL RESPONDE

¿Cuándo se ha de realizar la auditoría bienal y qué debe contener dicho informe?

La LOPD establece que debe realizarse una auditoría, al menos cada dos años, para los ficheros de nivel medio y alto.
En caso de que se realice un cambio de sustancial en los sistemas de información, organización o tratamiento, se deberá realizar de forma extraordinaria aunque no hayan pasado los dos años.

Dicha auditoría debe realizarse, obligatoriamente, por personal independiente y debidamente cualificado.

Tiene por objeto verificar el cumplimiento real de la normativa dentro de la organización.

Dicho informe de auditoría deberá:

1. Dictaminar sobre la adecuación de las medidas y controles de Ley y su Reglamento de Desarrollo.

2. Identificar las deficiencias encontradas.

3. Proponer medidas correctoras o complementarias necesarias.

4. Incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

Como se puede desprender de todos estos requisitos, el informe de auditoría es sumamente completo, y debe justificar debidamente todas las conclusiones y recomendaciones propuestas.

IMPORTANTE

Se debe conservar, al menos, el último informe de auditoría a disposición de la Agencia Española de Protección de Datos.

Read More
Daemon4 - Servicios Videovigilancia, camaras, grabadores

18 Nov LOPD: LA AEPD ACLARA

Datos personales del profesorado en la web

El informe 0223 de la AEPD resuelve la consulta planteada sobre si la consultante puede proceder a publicar en la página web de la Universidad los datos de contacto de sus profesores consistentes en el número de teléfono y correo electrónico de la Universidad sin su consentimiento, con la finalidad de favorecer la actividad docente a través de la interrelación con los alumnos

De dicho informe jurídico se extrae lo siguiente:

a) La comunicación planteada implica la existencia de una cesión de datos de carácter personal.

b) Toda cesión de datos debe obtener el consentimiento previo del interesado salvo que se dé cualquiera de los supuestos del artículo 11.2 de la LOPD.

c) El RD1720/2007, en su art. 2.2 establece que no será de aplicación la LOPD a los tratamientos de datos referidos a las personas jurídicas ni a los ficheros que se limiten a incorporar datos de las personas físicas que presten sus servicios en aquellas consistentes únicamente en su nombre y apellidos, funciones o puestos, dirección postal, teléfono y fax profesionales. Siempre que la finalidad sea contactar con la entidad y no con la persona.

d) Por ello, si los datos de los profesores aparecen exclusivamente vinculados a su actividad como docentes, en su entorno profesional, no están esos datos dentro del ámbito y no sería necesario el consentimiento para la cesión.

IMPORTANTE

En general, el principio relativo a la cesión de datos es el que más dudas suscita de cara al cumplimiento de la normativa de protección de datos.

 

Read More
Daemon4 - Servicios de Backup Online y Seguridad

04 Nov LOPD: LA LOPD EN EL DIA A DIA

EN QUE CIRCUNSTANCIAS  PUEDO DENEGAR EL EJERCICIO DE UN DERECHO DE ACCESO

El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como el origen de dichos datos y las cesiones previstas de los mismos.
El responsable del fichero o tratamiento podrá denegar el acceso en estos casos:

a) Cuando la solicitud sea formulada por una persona distinta del afectado y no se acredita que actúa en representación de aquél.

b) Cuando el derecho ya se ha ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto.

c) Cuando lo prevea una Ley o una norma de derecho comunitario.

Es decir, que el titular de los datos solo podrá solicitar un derecho de acceso una vez cada 12 meses, siempre que no acredite un interés legítimo para acortar este plazo de tiempo.

IMPORTANTE

El responsable del fichero dispone de un mes para estimar la solicitud de acceso, y cuenta con 10 días para responder a dicha solicitud una vez estimada.

Read More
Daemon4 - Software - ERP - lopd

20 Jun Boletín LOPD Junio 2014

LA LOPD EN EL DÍA A DÍA

¿Qué es el derecho a indemnización?

Según establece la Ley, los interesados que, como consecuencia del incumplimiento de la LOPD por el responsable o el encargado del tratamiento sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.
Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.
En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de jurisdicción ordinaria.

Es decir, tenemos que tener en cuenta que si como consecuencia del incumplimiento de la LOPD por nuestra empresa, el titular de los datos se ve perjudicado en algo, tendrá derecho a pedir una indemnización que le compense el daño sufrido.

Esta petición de indemnización la ejercerá en los tribunales ordinarios, utilizando, entre otras cosas, la resolución del procedimiento sancionador de la AEPD como prueba de la infracción ocurrida.

IMPORTANTE

Debemos tener en cuenta, en caso de infracción de la LOPD, que además de la sanción de la AEPD, el titular afectado puede exigirnos una indemnización.

SANCIONES DE LA AEPD

Sanción por no atender el requerimiento de la AEPD

En la resolución R/00927 de la AEPD podemos ver la sanción que puede sufrir una entidad por no atender un requerimiento de la Agencia Española de Protección de Datos para realizar comprobaciones de oficio sobre el cumplimiento de la LOPD.
Con fecha 26 de marzo de 2010, el Director de la AEPD envió al SANATORIO S.J.A. el requerimiento relativo al Informe de cumplimiento de la LOPD en Hospitales y se requería que lo cumplimentase antes del 31 de mayo de 2010.
El 18 de junio de 2010, se remitió un segundo requerimiento al no haberse recibido contestación al primero, para que procediera a la cumplimentación del citado informe antes del 31 de julio de 2010.
El 25 de noviembre de 2010, el Director de la AEPD acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas por presunta infracción del art. 37.1.a) de la LOPD.
La entidad alegó que el primero no fue atendido por un problema interno y el segundo no tiene constancia de su recepción y no fue atendido por desconocimiento.
Durante la instrucción del procedimiento el SANATORIO S.J.A. cumplimento el Informe de cumplimiento de la LOPD en centros hospitalarios y le fue remitido a la AEPD para su conocimiento.
Resultado: Sanción de 3.000 € por vulneración del artículo 37.1 de la LOPD.

IMPORTANTE

Ante un requerimiento de la AEPD (el que sea) lo peor que puede hacer una entidad es dejarle sin contestación.

LA AEPD ACLARA

Acceso al libro de registro de socios

El informe 0338/2012 de la AEPD resuelve la consulta planteada sobre si el posible acceso por los accionistas de una sociedad anónima al libro de registro de socios, así como el contenido de dicho acceso, planteando si debe incluir también el domicilio, a efectos de dar a conocer una nueva propuesta de gestión y administración de la sociedad; todo ello de conformidad con la LOPD.
De dicho informe jurídico se extrae lo siguiente:
a) La revelación de los datos contenidos en dicho libro, es una cesión o comunicación de datos.
b) El art. 116 del Real Decreto Legislativo 1/2010 de 2 de julio por el que se aprueba el Texto Refundido de la Ley de Sociedades de Capital prevé, por un lado, el contenido del libro registro de acciones nominativas, incluyendo nombre, apellidos, nacionalidad y domicilio de los titulares; y por otro lado permite el acceso al mismo, puesto que “cualquier accionista que lo solicite” puede examinar este libro. Por tanto, existe norma con rango de ley que ampara dicha comunicación de datos.
c) Sin embargo, la finalidad de la comunicación de los datos ha de estar estrictamente relacionada con el ejercicio de la condición de socio, no pudiéndose utilizar los datos para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

IMPORTANTE

Para que la cesión resulte conforme a la LOPD deberá ser respetuosa no solamente del principio de legitimación sino de los demás principios recogidos en dicha norma.

EL PROFESIONAL RESPONDE

Si un trabajador quiere a llevarse trabajo a casa,
¿qué requisitos hay que cumplir de cara a la LOPD?

El Artículo 86 del Reglamento, relativo al régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento establece:
1. Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable de fichero o tratamiento, o del encargado del tratamiento será preciso que exista una autorización previa del responsable del fichero o tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.
2. La autorización a la que se refiere el párrafo anterior tendrá que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas.
Por tanto, debemos realizar lo siguiente antes de permitir que un trabajador se lleve trabajo a casa:
1. Estar seguro que se va a garantizar el nivel de seguridad que corresponde al fichero que se va a tratar fuera.
2. Crear una autorización para ese trabajador, en la que se indiquen los datos que se autorizan a tratar fuera de las instalaciones del responsable y el nivel de seguridad que tiene que aplicar el trabajador.
3. Dicha autorización tiene que constar en el Documento de Seguridad, así como un periodo de validez.

IMPORTANTE

En el Documento de Seguridad debe existir una relación de los usuarios que tienen autorización para tratar datos fuera de las instalaciones del responsable.

 

Read More
Daemon4 Servicio Asesoría LOPD

02 Jun Boletín LOPD Mayo 2014

LA LOPD EN EL DÍA A DÍA

¿Quién puede solicitar un derecho ARCO?

Los derechos de acceso, rectificación, cancelación y oposición son personalísimos, y deben ser ejecutados por el propio afectado.
Tales derechos se ejercitarán:
a) Por el propio afectado, acreditando su identidad (fotocopia del DNI ó similar).
b) Por su representante legal (siempre acreditado), cuando el afectado se encuentre en situación de discapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos.
c) Por un representante voluntario, expresamente designado para el ejercicio del derecho. En este caso, deberá constar claramente acreditada la identidad del representado, mediante DNI o documento equivalente y la representación conferida por aquél.

Los derechos serán denegados cuando la solicitud sea formulada por una persona distinta del afectado y no se acredita que actúa en representación de aquél.

IMPORTANTE

Se deben atender los derechos en tiempo y forma, en especial de derecho de cancelación, ya que muchas sanciones de la AEPD se derivan de su omisión.

 

SANCIONES DE LA AEPD

Cartel de videovigilancia no válido

En el procedimiento sancionador PS/00328 de la AEPD podemos ver la sanción que puede sufrir una empresa si el cartel informativo de zona videovigilada no cumple con los requisitos formales establecidos.
Según los hechos, la Policía Municipal de Madrid denuncia la instalación de cámaras de videovigilancia en el establecimiento ATOLÓN, titularidad de INVERSIONES ALABARDERO SL, sin cumplir los requisitos exigidos en la LOPD.
Los responsables del local presentaron documentación en la que se hace constar que la instalación de las cámaras de seguridad ha sido efectuada por la entidad “Securitas Direct”, así como un CD con fotografías de los carteles instalados en el establecimiento, y en las mismas se puede apreciar que el cartel instalado recoge: “Securitas Direct. Instalación Protegida. Camaras de videovigilancia 24 horas” y un número de teléfono.
Sin embargo, según la AEPD, dicho cartel no es conforme a la normativa en materia de protección de datos, porque omite un dato fundamental en la medida en que no recoge la identidad del responsable del fichero ante el que ejercitar los derechos de acceso, rectificación, cancelación, y oposición reconocidos en los arts. 15 y siguientes de la LOPD, así como la referencia a la “Ley Orgánica 15/1999, de Protección de Datos”.
Resultado: Sanción de 2.000€ por vulneración del artículo 5.1 de la LOPD, relativo al derecho de información.

IMPORTANTE

El cartel informativo debe incluir la identidad del responsable del fichero y el domicilio ante el cual pueden ejercerse los derechos de acceso y cancelación de las imágenes.

LA AEPD ACLARA

Instalación de Call Center en otro país

El informe 0427/2010 de la AEPD resuelve la consulta planteada sobre si resulta exigible lo establecido en la LOPD, en el supuesto planteado en la misma en que la consultante tiene la intención de instalar en Colombia un servicio de atención de llamadas (call center) para la atención de los pedidos y reclamaciones de sus clientes, teniendo en cuenta que la empresa únicamente trata, por regla general, los datos referentes al número de teléfono, fijo o móvil, y domicilio de los citados clientes, con ocasión de la realización de los pedidos que efectúan. En la consulta se afirma que dichas normas no serían de aplicación al caso, dado que no se estaría procediendo al tratamiento de datos de carácter personal de los clientes.
De dicho informe jurídico se extrae lo siguiente:
a) El tratamiento de los datos referidos al número telefónico desde el que se realiza un pedido y al domicilio completo en que el mismo ha de entregarse son datos de carácter personal, sujeto su tratamiento en consecuencia a lo establecido en la Ley Orgánica 15/1999.
b) La contratación de un servicio de “call center” en Colombia implicará una transferencia internacional de datos con destino a un Estado que no ofrece un nivel adecuado de protección, y para la que será necesario recabar la autorización del Director de la Agencia Española de Protección de Datos”

IMPORTANTE

Cuando se subcontratan servicios que impliquen el acceso a datos personales con otros países, hemos de tener presente el correcto cumplimiento de la LOPD.

 

EL PROFESIONAL RESPONDE

¿Cómo gestiono las altas y bajas de los usuarios en los equipos informáticos para tenerlo todo controlado?

Los procedimientos de control de acceso deben tener en cuenta el ciclo de vida del usuario, desde su alta en el sistema, hasta la baja en el mismo.
Para ello, se debe redactar un procedimiento o política de registro de altas y bajas de usuarios, cobrando mayor importancia su estricto cumplimiento, cuantos más usuarios accedan al sistema.
La política debe cumplir, entre otros los siguientes extremos:
Asignar un identificador único por usuario, no compartiendo dicho identificador diferentes usuarios.
En caso de baja definitiva de un usuario, eliminar inmediatamente sus derechos de acceso.
En caso de baja temporal, bloquear su identificador.
Revisar periódicamente la lista de usuarios con la de personal, eliminando usuarios redundantes y los que no están en la lista, así como revisar los recursos a los que tienen acceso.
Cotejar la lista de usuarios anterior con la lista de usuarios y accesos permitidos del Documento de Seguridad.

IMPORTANTE

La lista de usuarios con acceso a recursos debe coincidir con la lista de usuarios y accesos permitidos del Documento de Seguridad.

Read More
Daemon4 - Servicios de Redes Backup Online y Seguridad

29 Abr Boletín LOPD Abril 2014

LA LOPD EN EL DÍA A DÍA

¿Qué es una persona identificada o identificable?

Un dato de carácter personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Los datos personales, permiten pues, identificar a una persona, así como revelar información de la misma.
Persona identificada: toda persona cuya identidad está determinada.
Persona identificable: toda persona cuya identidad pueda determinarse, ya sea directamente o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.
Vamos a matizar el concepto de identificable. Si recabamos imágenes a través de una cámara de vigilancia, las imágenes recogidas, pertenecen a personas, que podemos, o no, identificar. Si las imágenes se captan con una resolución tal que permitan identificar a una persona, ésta sería una persona identificable, y estaría dentro del ámbito de la ley, en caso contrario, no.

IMPORTANTE

Se debe realizar un análisis dentro de la empresa de los datos que se tratan para poder asignar correctamente el nivel de medidas de seguridad a aplicar.

SANCIONES DE LA AEPD

Sanción por carecer de medidas de seguridad

En la resolución R/01306 de la AEPD podemos ver la sanción que puede sufrir una entidad por no tener implantadas las medidas de seguridad exigidas.
Con fecha 29 de marzo de 2010 tiene entrada en la AEPD un escrito de D. A.A.A., en el que declara que, la empresa HIPERCOR, S.A., no cuenta con las medidas de seguridad oportunas con relación a información de datos clínicos, ya que desde dos terminales ubicados en el muelle de recepción de mercancías, donde tiene su puesto de trabajo, se pueden visualizar, entre otros, análisis clínicos de trabajadores de la empresa.
Durante la visita de las inspectoras de la AEPD, el denunciante accede a un equipo informático que está en el muelle, observándose que aunque el sistema pide un usuario y contraseña para acceder, el usuario sale ya por defecto, y la contraseña es la misma que el nombre de usuario.
Se puede además comprobar que desde ese equipo, a través de la red local es posible acceder a carpetas que están situadas en el equipo de la Jefa de Recursos Humanos del centro, en concreto es posible acceder a una carpeta denominada “Servicio Médico” y que contiene los resultados analíticos de los empleados del centro.
A las 15:30 horas, las inspectoras de la Agencia y los representantes de la entidad, se trasladan al muelle, verificándose que ha sido subsanado el error.
Resultado: Sanción de 20.000 € por vulneración del artículo 9.1 de la LOPD en relación a las medidas de seguridad.

Las medidas de seguridad, además de figurar en el documento de seguridad, han de implantarse

 

IMPORTANTE

El asesoramiento de un profesional en la aplicación de las medidas de seguridad es sumamente importante para una correcta implantación.

LA AEPD ACLARA

Tratamiento de datos de menores de edad

El informe 0046 de la AEPD resuelve la consulta planteada sobre el tratamiento de datos personales de los menores de edad a los que se facilita una tarjeta de fidelización.
De dicho informe jurídico se extrae lo siguiente:
a) Si es un menor de 14 años ó incapaz, el consentimiento ha de ser otorgado por los padres.
b) La cláusula informativa debe estar elaborada en un lenguaje comprensible a la edad del menor.
c) No se podrán recabar del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos, o cualesquiera otros, sin el consentimiento de los titulares de tales datos (únicamente podrán recabarse los datos de la identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado a).
d) Corresponde al responsable del fichero articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

IMPORTANTE

Hay que extremar las cautelas cuando se recogen datos de menores, en especial la obtención del consentimiento

EL PROFESIONAL RESPONDE

¿Qué se debe hacer, de cara al cumplimiento de la LOPD, CUANDO UN TRABAJADOR SE VA DE LA EMPRESA?

Para cumplir correctamente la LOPD, cuando se va un trabajador a la entidad, debemos realizar las siguientes acciones:
1. Eliminar o marcar la fecha de baja de este usuario en la lista de usuarios y accesos autorizados, de forma que ya no conste en el documento de seguridad como usuario autorizado para acceder a los ficheros con datos personales.
2. Eliminar o bloquear el identificador que tenía asignado para el acceso a los sistemas.
3. Dar de baja las autorizaciones que tuviera ese trabajador para sus funciones:
a. Salida de soportes y/o documentos fuera de las instalaciones.
b. Uso de portátiles.
c. Trabajo fuera de los locales.
d. Dispositivos a los que tiene acceso.
e. Etc.
4. Cancelar todos los privilegios de ese trabajador así como las conexiones remotas que tuviera habilitadas.

IMPORTANTE

Hay que establecer protocolos de actuación que contemplen las acciones a realizar cuando un trabajador abandona la entidad.

Read More

25 Abr Boletín LOPD Marzo 2014

LA LOPD EN EL DÍA A DÍA

Las funciones del responsable de Seguridad

Estas son las funciones que debe realizar del Responsable de Seguridad:

 

Coordinar la puesta en marcha de las medidas de seguridad, colaborar con el responsable del fichero en la difusión del documento de seguridad y cooperar con el responsable del fichero controlando el cumplimiento de las mismas.

 

Analizar las incidencias registradas, tomando las medidas oportunas en colaboración con el responsable del fichero.

Comprobar al menos de forma semestral, la existencia de copias de respaldo que permitan la recuperación del Fichero, realizando una prueba de restaurado que verifique la correcta definición de los procedimiento y proceso de recuperación.

 

Verificar, al menos con una periodicidad trimestral, la veracidad del inventario de soportes, así como el registro de entradas y salidas de soportes y documentos.

 

Mantener actualizado el Documento de Seguridad.

 

Realizar al menos cada dos años una auditoría de los ficheros de nivel medio y alto

IMPORTANTE

 

Lo ideal es que el Responsable de Seguridad sea una persona (o varias) con conocimientos jurídicos en protección de datos, y asesoradas si es necesario, por el personal técnico para la implantación correcta de las medidas de seguridad que exige la LOPD.

SANCIONES DE LA AEPD

Comunidad de propietarios no tiene los ficheros inscritos

 

En el procedimiento sancionador PS/00657/2009 de la AEPD podemos ver cómo cualquier persona puede denunciar a una entidad por no tener notificados los ficheros a la Agencia Española de Protección de Datos.

 

Según los hechos, tuvo entrada en la AEPD un escrito de una persona que denuncia a la comunidad de propietarios PISCINA URBANIZACION LOS ALMENDROS por presunta vulneración de la LOPD.

 

A la vista de la denuncia, la Subdirección General de Inspección realizó una consulta al Registro General de Protección de Datos para ver si la comunidad tenía los ficheros inscritos, comprobándose que en esa fecha dicha entidad no tenía los ficheros inscritos.

 

A la vista de la comprobación efectuada en el Registro General de Protección de Datos, el Director de la AEPD acordó iniciar un Procedimiento Sancionador por presunta infracción del art. 26 de la LOPD, notificando dicho Acuerdo de Procedimiento Sancionador a la comunidad de propietarios.

 

Dicha comunidad reconoció su responsabilidad respectos a dichos hechos, dando lugar a la resolución del procedimiento, con la imposición de la sanción que proceda.

 

 

Resultado: sanción de 601,01€ por infracción del artículo 26 de la LOPD, tipificada como leve.

IMPORTANTE

 

Como hemos visto en este caso, cualquier persona puede denunciar a una entidad por presunta vulneración de la normativa de protección de datos, iniciándose la apertura de un procedimiento de inspección por parte de la Agencia Española de Protección de Datos.

LA AEPD ACLARA

Publicar datos de trabajadores en internet

 

El informe 0039/2010 de la AEPD resuelve la consulta planteada sobre si es posible la publicación en la página web de la consultante de los datos personales de sus empleados, la opinión de sus clientes sobre el servicio prestado, así como su difusión por estos clientes en redes sociales, en relación a lo dispuesto por la LOPD y el RD1720/2007. Plantea también si el consentimiento de sus empleados podría efectuarse sin cumplir todos los requisitos exigidos por dichas normas.

 

De dicho informe jurídico se extrae lo siguiente:

 

  • El consentimiento para la comunicación masiva por Internet de los datos de sus empleados, incluidas las evaluaciones sobre los mismos, no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre.Por ello, el gabinete jurídico entiende que la comunicación de los datos de empleados en Internet, no puede ampararse en el consentimiento del trabajador, en el ámbito de la relación laboral.

  • El cliente de la consultante usuario de redes sociales y otros servicios de Internet, tendría que tener en cuenta que la publicación de contenidos con información y datos respecto de terceros no puede ser realizada si éstos no han autorizado expresamente su publicación.

    A TENER EN CUENTA

    Una cesión no consentida de datos personales que no esté bajo el amparo de ninguna de las excepciones que marca la Ley es una infracción muy grave, con sanción de hasta 600.000€

    EL PROFESIONAL RESPONDE

    ¿Dando a firmar el contrato al encargado del tratamiento, ¿ya no tengo que preocuparme de lo que él haga?

    Hay un artículo en el RD1720/2007 que pasa casi desapercibido pero que es de una enorme importancia a la hora de elegir el encargado del tratamiento por parte del responsable del fichero:

    Art. 20.2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

    Es decir, que antes de seleccionar un encargado del tratamiento, como el asesor fiscal, empresa de mantenimiento informático, Hosting, etc. debemos comprobar –en la medida de lo posible- que está cumpliendo la LOPD.

    Pero, ¿y qué puede hacer el responsable para comprobar que el encargado cumple con la normativa vigente en protección de datos personales?

    Pues fundamentalmente dos cosas:

  • Comprobar que tiene notificados los ficheros a la AEPD a través de su página web (www.agpd.es).

  • Solicitarle un documento firmado y sellado por el encargado en el cuál manifieste de forma expresa que dispone de Documento de Seguridad y cumple con normativa vigente en protección de datos personales.

     

    Constituye una infracción leve la transmisión de datos a un encargado del tratamiento sin dar cumplimiento a los deberes que establece el art. 12 de la LOPD, con sanción de entre 900 y 40.000€.

 

 

 

 

 

 

 

 

Read More
Protección de datos

18 Mar El Parlamento Europeo aprueba la reforma de la normativa sobre protección de datos

El pasado 12 de marzo el Parlamento Europeo dio luz verde al esperado y controvertido proyecto de reforma del Reglamento Europeo de Protección de Datos lo cual afectará entre otros al sector del mueble, el transporte y la distribución. Falta la aprobación del mismo por el consejo de ministros, las autoridades comunitarias han hecho hincapié en la urgencia en aprobar este reglamento.

Entre los objetivos más destacados tenemos:

-La necesidad de adaptar la normativa de protección de datos a la nueva coyuntura que plantea el entorno digital.

-Mejorar la confianza del consumidor en los servicios online introduciendo el derecho a la rectificación a la rectificación, al olvido y a la supresión, derecho a la portabilidad de datos y de oposición.

-Evitar las divergencias actuales en la aplicación de las normas que existen entre los estados miembros heredadas de la legislación de 1995 y velar por los derechos fundamentales a la protección de datos personales se apliquen de forma uniforme en toda la Unión.

-Impulsar un mercado único digital reduciendo la actual fragmentación y cargas burocráticas.

Este paquete de medidas aprobado por el Parlamento europeo cubre la gran mayoría de los datos que se procesan en casos como las redes sociales, páginas de comercio electrónico, bancos online, servicios hospitalarios, etc… etc…  estableciéndose además una cooperación policial entre los Estados miembros para garantizar el cumplimiento normativo.

El nuevo reglamento está teniendo críticas por diferentes asociaciones empresariales reprochando la excesiva regulación que conlleva la creciente reforma, dirigiendo las críticas principalmente a la excesiva carga administrativa que va a suponer para algunos negocios, a las desproporcionadas sanciones contempladas, …

El principal objetivo de la normativa es  mejorar la protección de los datos personales de los ciudadanos europeos apareciendo algunas novedades muy positivas como:

*se dificultan transferencias de datos a terceros paises.

*aparece el derecho de supresión que sustituye al antiguo derecho al olvido.

*los datos sobre creencias, orientación sexual, sanciones administrativas, fallos judiciales y delitos presuntos no serán susceptibles de ser tratados.

*el consentimiento habrá de ser explícito y el lenguaje claro

*se aprueba el mecanismo “one-stop-shop”, por el cual cuando el procesamiento de datos se lleve a cabo en más de un estado miembro las empresas sólo tendrán que responder frente a una única autoridad de control, en vez de 28.

Read More
Daemon4 - Software - ERP - lopd

07 Feb Boletín LOPD Febrero 2014

 

LA LOPD EN EL DÍA A DÍA

¿Cuándo he de pedir consentimiento y cuándo no?

 

Norma general:

 

  • Hemos de pedirlo siempre.

 

 

Excepciones:

 

  • Cuando exista una relación negocial, laboral o administrativa y sean necesarios para la misma
    (por ej.  prestar un servicio directo al interesado).

  • El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado (ej. prestarle asistencia sanitaria).

  • Los datos figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades del interesado.

  • Se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.

 

Importante: aunque no sea necesario recabar el consentimiento, siempre hemos de informar al interesado de la identidad del responsable, finalidad de la recogida y el ejercicio de derechos ARCO.

 

 

IMPORTANTE

 

La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran.

SANCIONES DE LA AEPD

 

 

Fotógrafo presenta a concurso foto sin consentimiento

 

 

En la resolución R/02426/2010 de la AEPD podemos ver cómo es necesario obtener el consentimiento para la publicación de una fotografía que recoja la imagen de una ó varias personas.

 

Según los hechos, tuvo entrada en la AEPD un escrito de una persona en el que declara que su hijo de siete años, A.A.A. aparece en un cartel publicitario en las estaciones del Metro de Madrid.

 

El cartel consiste en un anuncio, realizado por la Agencia de Publicidad de la Comunidad de Madrid, del Certamen “II Exposición FotoCam 2009”.

 

El denunciante indica que la fotografía, titulada “El pequeño Jedi”, ha sido realizada por un fotógrafo profesional y fue tomada de forma furtiva (el niño no mira hacia el objetivo) y sin su consentimiento ni el de su esposa.

 

Investigados los hechos, el denunciado no ha aportado prueba documental que acredite el consentimiento de los padres y representantes legales del afectado menor de edad, para que dicho fotógrafo pudiera llevar a cabo el tratamiento de datos personales realizado.

 

Resultado: infracción del artículo 6.1 de la LOPD tipificada como grave, con sanción de 40.001 a 300.000 euros.

 

Teniendo en cuenta los criterios de graduación de las sanciones previstos en el citado artículo 45.4 de la LOPD y, en especial, al volumen de tratamientos, la AEPD procede a sancionar a dicho fotógrafo con una multa de 1.000€.

IMPORTANTE

 

Como hemos visto en este caso, corresponde al responsable del fichero la prueba del consentimiento para el tratamiento de los datos personales, debiendo siempre poder acreditar que dicho consentimiento ha sido prestado por el titular de los datos.

 

 

 

LA AEPD ACLARA

 

Cesión de datos a Federación

 

El informe 0191/2010 de la AEPD resuelve si resulta conforme a la LOPD que la entidad consultante, asociación de fotógrafos, comunique los datos de sus asociados a la Federación de la que forma parte.

 

De dicho informe jurídico se extrae lo siguiente:

 

  • La integración de la Asociación consultante en dicha Federación, aprobada conforme a lo establecido en sus estatutos, implica la aceptación por sus asociados de las condiciones que derivan de la integración de la misma, estableciéndose así una relación jurídica entre la Federación y los afectados por la cesión de datos que requiere el acceso a los datos relativos a su identidad, por lo que dicha cesión de datos vendría amparada en lo previsto en el artículo 11.2.c) de la Ley Orgánica 15/1999.

  • En todo caso, debe recordarse que el artículo 4.1 de la LOPD al recoger el principio de proporcionalidad en el tratamiento de los datos personales dispone que éstos serán “adecuados, pertinentes y no excesivos”, por lo que la cesión deberá limitarse a los datos relativos a la identificación de los asociados.

 

Recordemos que el artículo 10.4 del RD1720/2007 dice: “Será posible la cesión de los datos de carácter personal sin contar con el consentimiento del interesado cuando: a) La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.”

 

 

 

A TENER EN CUENTA

 

Una cesión no consentida de datos personales que no esté bajo el amparo de ninguna de las excepciones que marca la Ley es una infracción muy grave, con sanción de hasta 600.000€.

 

 

 

EL PROFESIONAL RESPONDE

 

¿Con quién tengo que hacer e un contrato de acceso a datos por cuenta de terceros?

 

Se debe hacer un contrato de acceso a datos por cuenta de terceros con los encargados del tratamiento, es decir, con todas las empresas externas que accedan, puedan acceder ó suministremos datos personales con la finalidad de prestarnos un servicio. (p.ej. en una fábrica de muebles su asesoría fiscal, su encargado de vigilancia de la salud, su consultor de protección de datos….)

 

Estos son algunos de los encargados del tratamiento que pueden existir:

 

  • Consultora de la LOPD.

  • Mantenimiento informático de hardware y/o videovigilancia.

  • Proveedor/soporte de software.

  • Servicio de prevención de riesgos laborales y de la vigilancia de la salud.

  • Asesoría laboral, fiscal y/o contable.

 

  • Consultora de calidad, medioambiente, SGSI, etc.

  • Certificadora de la norma de calidad, medioambiente, SGSI, etc.

  • Proveedor de alojamiento y/o correo electrónico.

  • Diseño web, comercio electrónico, etc.

  • Organizadora y/o impartidora de formación para los trabajadores.

  • Envío de mailings.

    Como Responsables de Fichero, debemos conformar el contrato de encargado del tratamiento antes de que comience la prestación del servicio”

 

 

A TENER EN CUENTA

Con la empresa de limpieza, seguridad, o cualquier otra que con motivo de su desempeño pudiera tener acceso a datos personales aunque no sea este su cometido, también debe hacerse un contrato de prestación de servicio sin acceso a datos.

 

 

 

Read More
Daemon4 - Software - ERP - lopd

12 Ene Boletín LOPD Enero 2014

LA LOPD EN EL DÍA A DÍA

¿Qué autorizaciones deben estar documentadas?

 

El cumplimiento del RD1720/2007 requiere que tengamos en el Documento de Seguridad una relación de las personas y/o perfiles a los que se ha concedido alguna autorización:

  • Lista de usuarios que pueden sacar datos personales fuera de las instalaciones del responsable del fichero (N. Básico).

  • Lista de usuarios que pueden tratar datos personales fuera de las instalaciones del responsable (N. Básico).

  • Lista de usuarios que pueden tratar datos personales en dispositivos portátiles (N. Básico).

  • Lista de usuarios que tienen acceso a los dispositivos (armarios, cajoneras, etc.) donde se almace-nan los soportes que contienen datos personales (N. Básico).

  • Lista de usuarios que tienen acceso a los locales donde están los sistemas de información (equipos) que tratan los ficheros (N. Medio).

  • Lista de usuarios autorizados para enviar y/o recepcionar soportes automatizados que contienen datos personales (N. Medio).

  • Lista de usuarios autorizados para copiar documentos que contienen datos personales de nivel alto (N. Alto).

 

IMPORTANTE

 

Estas listas de usuarios autorizados deben mantenerse en todo momento actualizadas, reflejando la realidad de la organización.

SANCIONES DE LA AEPD

Denuncia de oficio relacionada con la videovigilancia

 

En el procedimiento sancionador PS/00327/2010 de la AEPD podemos ver cómo la propia POLICIA MUNICIPAL DE MADRID denuncia la instalación de un sistema de videovigilancia que no cumple los requisitos que marca la normativa sobre protección de datos personales.

 

Según los hechos, la policía municipal de Madrid denuncia ante la Agencia Española de Protección de Datos la instalación de cámaras de videovigilancia en el establecimiento “La Cervesía”, titularidad de XXX, S.L. sin cumplir los requisitos exigidos por la LOPD.

 

Los inspectores de la AEPD constatan que en dicho establecimiento no existen los carteles informativos de videovigilancia donde se informa a los afectados de la existencia de dicho tratamiento, así como de la identidad del responsable del mismo y dónde pueden ejercer sus derechos de acceso y cancelación.

 

En este caso la entidad denunciada ha recabado datos personales (las imágenes grabadas) sin facilitar a sus titulares la información que señala el artículo 5 de la LOPD por lo que debe considerarse que ha incurrido en una infracción leve al no facilitar dicha información de forma visible.

 

Resultado: Teniendo en cuenta los criterios de graduación de las sanciones previstos en el citado artículo 45.4 de la LOPD y, en especial, la falta de beneficios obtenidos y al grado de intencionalidad, la AEPD procede a sancionar al establecimiento con una multa de 2.000€.

 

IMPORTANTE

 

La denunciante es la propia policía municipal, que ha puesto el caso en manos de la AEPD actuando “de oficio” al detectar que una instalación de videovigilancia no estaba de acuerdo a la LOPD.

LA AEPD ACLARA

El informe de auditoría y su conservación

 

El informe 0191/2010 de la AEPD aclara el plazo de conservación de los informes de auditoría que exige la LOPD para los ficheros de nivel medio y alto.

 

De dicho informe jurídico se extrae lo siguiente:

 

  • A partir de nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa.

  • Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

  • Teniendo en cuenta los plazos de prescripción y de obligación de sometimiento a la auditoría, el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años.

  • Solo existe la obligación de guardar el último informe de auditoría.

 

IMPORTANTE

 

No realizar la obligada auditoría en los plazos que marca la Ley es una infracción grave, con sanción de entre 40.001 y 300.000€.

EL PROFESIONAL RESPONDE

¿Cómo puedo limitar el acceso a los equipos?

 

Una pregunta que hacen muchos clientes es: de qué forma puedo limitar el acceso a los equipos, de forma que los usuarios únicamente accedan a los recursos necesarios para su trabajo.

 

Existen diversas maneras de identificación y autenticación del usuario en función del mecanismo o tecnología que se aplique.

 

Podemos clasificar los sistemas en estos tipos:

 

  • Sistemas basados en algo que el usuario conoce (contraseña).

  • Sistemas basados en algo que el usuario posee (DNI electrónico, token, etc.).

  • Sistemas basados en una característica física del usuario, también denominados biométricos (reconocimiento de huella dactilar, voz, rostro, patrón ocular, etc.).

  • Sistemas mixtos, que combinan dos o más de los descritos anteriormente.

 

En caso de que utilicemos el sistema más extendido, a través de contraseñas, para garantizar la seguridad se debe realizar una correcta gestión de las mismas:

 

  • Evitar todas aquellas contraseñas deducibles por terceros y asociadas a parámetros comunes del usuario (fechas de nacimiento, nombre de familiares, matrículas de coches, aficiones, etc.).

  • Emplear al menos 6 caracteres combinando mayúsculas, minúsculas, números y otros caracteres especiales.

  • Establecer la periodicidad de cambio de las contraseñas a menos de 1 año.

  • Limitar el número de intentos fallidos de acceso al sistema.

 

A TENER EN CUENTA

 

No tener implantadas las medidas de seguridad es una infracción grave, con sanción de entre 40.001 y 300.000€.

 

 

 

 

 

 

 

Read More

Utilizamos cookies propias y de terceros para recoger información analítica sobre el uso de la web, si continúa navegando, acepta nuestra política de cookies, su instalación y uso. Puede cambiar la configuración u obtener más información sobre las cookies aquí.

ACEPTAR
Aviso de cookies