Recogida de datos en las páginas web cumpliendo la LOPD

Cuando recogemos datos en nuestra página web, debemos cumplir la LOPD en dicha recogida, aunque sea para una tarea tan trivial como mandar un boletín o enviarle información más detallada sobre un artículo o servicio.

La forma de cumplir al 100% con los requisitos necesarios es:

  • Añadir al formulario de recogida de datos un “check” que no esté marcado previamente y a través del cual el usuario acepte de forma expresa la Política de Privacidad.

  • Pulsando en el texto Política de Privacidad ha de mostrarse la cláusula en la que se le informa de la finalidad de la recogida, la identidad del responsable y dónde puede ejercer los derechos de acceso, rectificación, cancelación y oposición. En dicha cláusula le pediremos también consentimiento para incluir los datos en nuestro fichero.

  • No debe ser posible enviar el contenido del formulario si el usuario no ha marcado el “check”, aceptando de este modo, de forma expresa, lo que le hemos indicado en la cláusula

A TENER EN CUENTA

Tanto los formularios en papel como los formularios en internet han de contener la cláusula informativa.

Sanción por arrojar documentación al contenedor

En la resolución R/00434/2011 de la AEPD se puede ver la sanción que puede sufrir una organización por arrojar documentación que contiene datos personales al contenedor de basura sin antes destruir dicha documentación de forma que no se pueda recuperar su contenido.

Con fecha de 22/2/10 tiene entrada en la AEPD un escrito de Ajuntament de Premia de Mar, en el que declara que la Policía Local de la localidad, a requerimiento de un ciudadano, ha localizado diversa documentación con datos personales en la Calle Jacinto Verdaguer esquina con la Calle la Placa.

Esta documentación estaba en el interior de un contenedor de residuos orgánicos y corresponde a la Gestoría A.P.M.

En la inspección de la AEPD se constató que dicha gestoría tenía los ficheros inscritos en el Registro General de Protección de Datos, así como procedimientos establecidos para el tratamiento de los datos personales se encontraban documentados debidamente en su Documento de Seguridad.

La gestoría alegó que la persona que había depositado dichos documentos es una persona externa de limpieza que por error depositó dichos documentos en el contenedor sin haber pasado previamente por la trituradora.

Sin embargo, según la AEPD, el error cometido no exonera al responsable, que debería haber implementado los mecanismos necesarios para eso no ocurriese.

Resultado: Sanción de 4.000€ por infracción del artículo 9 de la LOPD, relativo a la seguridad de los datos personales.

 

IMPORTANTE

Las medidas de seguridad, no solo han de estar descritas en el Documento de Seguridad, también han de implantarse y cumplirse.

Videovigilancia en domicilios particulares

 

El informe jurídico 0360/2009 de la AEPD resuelve la consulta planteada relativa sobre si las empresas de seguridad al instalar los sistemas de seguridad, con acceso remoto a las imágenes de sus clientes, cuando salta la alarma, requiere formalizar un contrato de encargado del tratamiento en los términos del artículo 12 de la LOPD.

De dicho informe jurídico se extrae lo siguiente:

  • Es necesario que las empresas de seguridad formalicen un con sus clientes un contrato de encargado del tratamiento en los términos previstos por el artículo 12 de la LOPD cuando accedan por control remoto a las imágenes, y esto procederá cuando los clientes de las empresas de seguridad sean empresas y órganos corporativos.

  • No obstantes, si el servicio está instalado en el domicilio particular de una persona, y sólo se acceda a las imágenes cuando salte el dispositivo de la alarma, en este caso, no se considera al particular responsable del tratamiento, pues la instalación del sistema en su domicilio, excluye de la aplicación de la LOPD, al tratarse de un ámbito personal y doméstico, por expreso mandato del artículo 2.a) de la LOPD.

  • Sin embargo, la empresa de seguridad cuando instala el mencionado sistema en el domicilio particular de su cliente, adquiere la condición de responsable del fichero de gestión de sistemas de videovigilancia con acceso a las imágenes de sus clientes, cuando éstos sean personas físicas y el sistema de seguridad con acceso a imágenes se efectúa en su domicilio particular.
  A TENER EN CUENTA

Las imágenes son datos personales, y como tales, están sujetos a la normativa sobre protección de datos.

 

Quiero instalar unas cámaras de videovigilancia, ¿qué tengo de hacer?

Cuando instalamos una cámara de videovigilancia, estamos realizando un tratamiento de datos personales en cuanto a las imágenes recogidas.

Para que podamos emplear, llegado el caso, en un procedimiento judicial dichas imágenes, es preciso que dicha instalación se encuentre debidamente legalizada.

Para esto, debemos que realizar las siguientes acciones:

  1. Inscribir el fichero relativo a la videovigilancia en el Registro General de Protección de Datos (normalmente se llama VIDEOVIGILANCIA).

  2. Elaborar o completar el Documento de Seguridad con los detalles de la instalación (número de cámaras, especificaciones, lugar de grabación, días grabados, etc.).

  3. Indicar en el Documento de Seguridad las personas que tienen acceso a las imágenes, así como los usuarios que pueden acceder por vía remota.

  4. Si la empresa que nos ha instalado el sistema puede tener acceso remoto o presencial a las imágenes, firmar con ella un contrato de acceso a datos por cuenta de terceros.

  5. Instalar carteles informativos en los accesos a la zona videovigilada, indicando en ellos la identidad del responsable y el domicilio ante el que deben ejercerse los derechos ARCO

A TENER EN CUENTA

Un sistema de videovigilancia privado no puede recoger imágenes de la vía pública.