viernes, 21 de diciembre de 2012

¿Qué son las etiquetas RFID y qué relación tienen con la protección de datos personales?

La Identificación por Radio Frecuencia o RFID es una tecnología que permite identificar un objeto gracias a una onda emisora incorporada en el mismo que transmite por radiofrecuencia los datos identificativos del objeto (etiquetas de seguridad, chips, carnet biblioteca, tarjeta de control de trabajadores, pulseras chip, etc.).

Si bien esta tecnología mejora la eficiencia y comodidad de los sistemas de uso diario, a veces plantea riesgos para la seguridad y la privacidad de los usuarios.

En los casos en los que las etiquetas contengan información personal o asociada a personas físicas, serán de aplicación las normas sobre protección de datos personales, en concreto, la LOPD.

Los usuarios deben conocer la tecnología, interesarse por el uso que se va a hacer de ella, conocer el modo de ejercer sus derechos y trasladar a los responsables del uso de estas tecnologías la necesidad de respetar su derecho fundamental a la protección de datos en los procesos de diseño de nuevos servicios de RFID.

El INTECO ha editado una guía sobre la tecnología RFID y sus implicaciones en la normativa de protección de datos que puede descargarse desde aquí.


A TENER EN CUENTA
Antes de utilizar una nueva tecnología hay que ponderar sus beneficios contra las implicaciones que tiene de cara a la privacidad

miércoles, 5 de diciembre de 2012

Cambio de sexo y protección de datos

El informe 0268/2011 de la AEPD resuelve la consulta planteada sobre el modo en que deberán aplicarse las previsiones de la LOPD, y su Reglamento de desarrollo, en el supuesto en que una persona que ha sido sometida a un tratamiento de transexualidad ha solicitado la rectificación de sus datos, de forma que aparezcan recogidos en la historia clínica de la paciente con su nuevo nombre. En particular, se plantea si debería modificarse el nombre de la paciente en los datos relacionados con episodios de la historia clínica acaecidos mientras la paciente era hombre. 

De dicho informe jurídico se extrae lo siguiente:

a) La necesidad de que los datos relacionados con el paciente aparezcan en la historia clínica en su situación actual, de forma que la información aparezca vinculada con la misma.

b) No obstante, los episodios contenidos en la historia deberán conservarse con la debida exactitud e integridad, a fin de poder garantizar una adecuada asistencia sanitaria al paciente a tenor de toda la información sanitaria disponible, teniendo particularmente en cuenta las peculiaridades que pudieran derivarse, en relación con determinadas dolencias, del sexo del paciente, dado que en la consulta se señala que “el modo de enfermar es diferente en función del género”, existiendo además determinadas dolencias vinculadas exclusivamente a un género determinado.

Consecuencia de todo ello será que si bien la información contenida en la historia clínica deberá figurar en su denominación bajo el nombre de la paciente, los concretos episodios contenidos en la misma deberán conservar la información necesaria que garantice el conocimiento por los facultativos que accedan a la historia de que la paciente en el momento de desarrollarse dicho episodio era del género masculino.


A TENER EN CUENTA
Cuando se tratan datos de personales relativos a la salud hemos de ser extremadamente cautos.

jueves, 29 de noviembre de 2012

Sanción por compartir fichero con datos por eMule

En la resolución R/02437/2012 de la AEPD se puede ver la sanción que puede sufrir una empresa por no tener implantadas las medidas de seguridad que exige la LOPD.
Con fecha 16 de julio de 2007, tuvo entrada en la AEPD un correo electrónico de la Policía Local del Concello de Ourense, en el que manifiesta que el día 10 de ese mes han encontrado y descargado un archivo de un usuario de Internet, en entorno compartido Emule, siendo el nombre del archivo “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”. En fecha 10/7/2007 a las 16:21 horas se identificó la IP del usuario de emule que compartía el citado archivo, resultando ser la ***IP.1.
Una vez realizada la inspección de la AEPD, se verifica que la base de datos se compone de diferentes tablas entre las que se encuentran las denominadas “AFILIADO” y “EMPRESAS”, verificando que la primera se compone de 2.890 registros. Dicha base de datos corresponde a una aplicación informática utilizada para la gestión del fichero que se encuentra alojada en un servidor ubicado en la propia secretaría de la organización sindical donde se realiza la inspección. El problema se ocasionó porque un usuario permitió que el archivo pudiera ser compartido por otros a través de eMule, aunque no está probado que el mismo lo hiciera conscientemente y con la intención de dar a conocer o difundir este archivo, ni que con ello pretendiera perjudicar a los afiliados o a la organización sindical FIA-UGT de la comarca del Bierzo.
Resultado: Sanción de 6.000€ a la FEDERACIÓN ESTATAL DE INDUSTRIAS AFINES DE LA UNIÓN GENERAL DE TRABAJADORES por una infracción del artículo 9.1 de la LOPD, tipificada como grave.
Los usuarios han de ser formados en el uso adecuado de la informática
IMPORTANTE
No deben instalarse aplicaciones para compartir archivos en equipos utilizados para el tratamiento de datos personales.

jueves, 22 de noviembre de 2012

Almacenamiento de la documentación en formato papel (facturas, albar., etc.)

Los dispositivos utilizados para el almacenamiento de los documentos que contengan datos personales deben disponer de mecanismos que obstaculicen su apertura a las personas no autorizadas para acceder a dicha documentación.
Es decir, se debe almacenar dicha documentación (los archivadores con las facturas, albaranes, nóminas, etc.), en armarios, cajoneras, etc. que dispongan de cerradura con llave u otro dispositivo similar. Obviamente, solo deben disponer de la llave las personas autorizadas a acceder a dicha documentación y los dispositivos deben permanecer cerrados mientras no sea necesario acceder a los documentos almacenados en ellos.
¿Y qué hacemos si los armarios no disponen de cerradura?
En este caso, la normativa nos indica que si las características físicas no permiten adoptar esta media, el responsable del fichero adoptará medidas que impidan el acceso de personas no autorizadas.
Estas medidas pueden ser trasladar toda esta documentación a un recinto aparte cerrado con llave, u otra similar, que garantice que los documentos no van a ser accedidos por alguien no autorizado.

A TENER EN CUENTA

Las medidas de seguridad descritas en el Documento de Seguridad deben cumplirse.

jueves, 25 de octubre de 2012

Sanción por no atender requerimiento de la AEPD

En el procedimiento sancionador PS/00101/2012 se puede ver la sanción que puede sufrir una empresa por no atender debidamente el ejercicio de los derechos de los ciudadanos, máxime, cuando la AEPD lo ha requerido para ello.

Con fechas 4 y 13 de enero de 2012, tuvieron entrada la AEPD escritos de Don B.B.B. (en lo sucesivo el enunciante), en los que denuncia que Don A.A.A. (en lo sucesivo el denunciado) no ha cumplido el requerimiento del Director de esta AEPD, relativo a la Resolución de la tutela de derechos nº TD/00706/2010, por la que se estimaba su reclamación y se instaba al denunciado para que en el plazo de diez días facilitase el acceso a sus datos sanitarios contenidos en sus ficheros o, en su defecto, denegase motivada y fundamentadamente dicho acceso.

En fecha 2 de abril de 2012, se intentó la notificación del citado acuerdo de inicio de procedimiento sancionador al denunciado, por medio del servicio de correos, con el resultado de “Ausente en reparto”. Se envió para su notificación el citado acuerdo de inicio de procedimiento sancionador al denunciado, mediante su exposición en el Tablón de edictos del Ayuntamiento de Valencia. El edicto estuvo expuesto en el Tablón de edictos del Ayuntamiento de Madrid desde el 25 de abril al 15 de mayo de 2012. El 27 de abril de 2012 se publicó en el Boletín Oficial del Estado, otorgándose al denunciado plazo para efectuar alegaciones a dicho acuerdo.

La falta de atención al requerimiento del Director de la AEPD al imputado en este procedimiento, establece la base de facto para fundamentar la imputación de la infracción.

Resultado: Sanción de 5.000€ por infrac-ción del art. 37.1.a) de la LOPD.
El afectado, si no se atienden sus derechos, puede pedir tutela a la AEPD
IMPORTANTE
Es sumamente importante atender los derechos de los ciudadanos en tiempo y forma para evitar problemas futuros.

martes, 31 de julio de 2012

El Blog descansa por vacaciones


Inmersos en pleno verano, echamos temporalmente el candado al Blog para disfrutar de unas merecidas vacaciones. Esto nos ayudará a regresar (más aún si cabe) con las pilas bien cargadas. Un buen descanso en el momento adecuado implica un retorno reforzado.

En breve volveremos a abrir las puertas de par en par de este espacio y estaremos de nuevo disponibles y enteramente a la disposición de nuestros clientes y amigos, ofreciendo como siempre los mejores servicios y las últimas novedades de nuestro sector.

Dicho esto, desde INPD os deseamos un feliz verano y os esperamos a la vuelta.


Imagen: freedigitalphotos.net

jueves, 26 de julio de 2012

¿Qué son los Códigos Tipo y para qué sirven?


Los Códigos Tipo son acuerdos sectoriales, convenios administrativos o decisiones de empresa en los que se establecen, en función de los principales problemas de un determinado sector para cumplir la normativa sobre protección de datos, unas pautas de actuación así como una definición de criterios uniformes de aplicación de la LOPD entre las organizaciones agrupadas a dicho Código Tipo.

Los Códigos Tipo tienen el carácter de códigos deontológicos o de buena práctica profesional, y son vinculantes para quienes se adhieran a los mismos.

El objetivo de los Códigos Tipo es redactar y cumplir las mejores prácticas de la LOPD en las organizaciones agrupadas.

Para ello, los Códigos Tipo deben:

- Identificar los principales problemas de un sector determinado para cumplir la normativa sobre protección de datos.

- Concretar criterios específicos de aplicación de la normativa.

- Definir la aplicación de las medidas de seguridad atendiendo los riesgos de ese sector en concreto.

Imagen: freedigitalphoto.net

jueves, 19 de julio de 2012

¿Se pueden publicar los datos de contacto de profesores en las webs de universidades?

Siempre que se cedan o comuniquen datos hemos de ser extremadamente cautos. El informe 0223/2011 de la AEPD (Agencia Española de Protección de Datos) resuelve la consulta planteada sobre si se pueden publicar en la página web de la Universidad los datos de contacto de sus profesores sin su consentimiento, con la finalidad de favorecer la actividad docente a través de la interrelación con los alumnos, incluso si alguno manifiesta su oposición, de acuerdo con lo dispuesto por la LOPD (Ley Orgánica de Protección de Datos), y el artículo 2.2 del RD1720/2007 (RLOPD), teniendo además en cuenta el RD1791/2010, por el que se aprueba el Estatuto del Estudiante Universitario.

Los datos a los que hace referencia la consulta son el número de teléfono y la dirección de correo electrónico de la Universidad.  

De dicho informe jurídico se extrae que la publicación planteada implica la existencia de una cesión o comunicación de datos de carácter personal. El RD1720/2007, en su artículo 2.2, establece que “este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.” 

En consecuencia, si los datos de contacto a los que se refiere la consulta se enmarcan en el entorno profesional del afectado y su actividad en el marco de su integración profesional en la persona jurídica (Universidad), no será necesario registrar dicho fichero al encontrarse excluido del marco de aplicación de la Ley. Por tanto, no se precisaría el consentimiento de los profesores para la comunicación de sus datos de contacto a través de la página web de la Universidad.

jueves, 12 de julio de 2012

Sanción por difundir un parte médico en Facebook

En toda entidad ha de prestar mucha atención a lo que publica en las redes sociales y formar adecuadamente al personal encargado de tratar datos personales. 
 
En el procedimiento sancionador PS/00369/2012 de la Agencia Española de Protección de Datos (AEPD) podemos ver la sanción que puede sufrir una entidad por al publicarse en Facebook un parte médico de incapacidad temporal de un trabajador de dicha entidad, manteniéndose durante un periodo de entre 24 y 48 horas.
La AEPD recibió una denuncia a la entidad LITTE CUP S.L. por publicar una fotografía en el álbum del perfil TAZZINA MANRESA de la red social Facebook. En la fotografía se aprecia un documento en cuyo encabezamiento figura la leyenda “BUROFAX MANRESA”, junto a un literal parcialmente ilegible: “…INCAPACITAT TEMPORAL PER CONTINGENCIES COMUNES”. El documento contiene el nombre y apellidos de la denunciante, junto con su número de tarjeta sanitaria, número de afiliación a la Seguridad Social, número de DNI y domicilio. Asimismo se incluye el nombre de la empresa: LITTLE CUP, S.L. y datos asociados a la baja médica: 60 días, “malaltia comuna”, fecha de baja: 08/09/2010.
La empresa alega que desconoce las circunstancias por las cuáles una fotografía del citado parte fue publicada en el perfil de la red social Facebook y que en cuanto detectó la difusión del documento, decidió su retirada y el cambio de contraseñas de acceso a dicha red, ya que los empleados tenían acceso al perfil.
En consecuencia, la empresa demandada obtuvo una sanción de 2.000 euros, por vulneración del artículo 6.1 de la LOPD relativo al consentimiento, tipificada como infracción grave.
 
Para cualquier duda relacionada con la LOPD, puedes ponerte en contacto con nosotros, en Instituto Nacional de Protección de Datos te asesoraremos para que no cometas ningún error que pueda suponer sanciones para tu empresa.

jueves, 28 de junio de 2012

Cómo gestionar los datos de los currículums


Desde el boletín LOPD en la empresa nos recuerdan que en toda empresa se deben analizar las distintas fuentes de entrada de datos personales en la entidad.
 
Es habitual recibir en las empresas curriculum vitae de posibles candidatos que quieren optar a un puesto de trabajo, ya sea a través de un proceso de selección de personal que la empresa haya iniciado, o siendo el propio candidato el que facilita sus datos a la empresa de forma espontánea.

Una vez recibido el currículum, podemos encontranrnos ante dos posibles alternativas:

a) Que NO nos interese: en este caso, hemos de destruir el currículum con una trituradora o sistema similar, de forma que no sea posible recuperar esos datos (si lo hemos recibido por mail, borraremos el correo).

b) Que SÍ nos interese: en caso de que guardemos el currículum hemos de informar al titular del mismo de que vamos a guardar dichos datos para procesos de selección de personal e indicarle quién es el responsable del fichero y cómo puede ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Hemos de tener en cuenta que, a los currículums que guardemos, les hemos de aplicar las medidas de seguridad de nivel medio.

jueves, 21 de junio de 2012

Evolución de la Ley de Protección de Datos

La normativa sobre protección de datos tendrá un alcance global en un futuro. Tras su implantación en Alemania hace más de 30 años, se está tratando de armonizar esta normativa en todos los países de la Unión Europea. A su vez, se está implantado esta normativa en los países de Latinoamérica.

Con respecto a la evolución de la normativa sobre protección de datos, hemos de destacar las siguientes fechas: 
  • 1977 Alemania. Aparece la “Ley De Protección Contra el Abuso de Datos Personales, en el Proceso de Datos”
  • 1978 Constitución Española. En su artículo 18 relativo al Derecho al honor, a la intimidad personal y familiar y a la propia imagen, así como a la limitación en el uso de la informática para garantizar esto.
  • 1992 España. Aparece la “Ley Orgánica De Regulación Del Tratamiento Automatizado De Datos” (LORTAD).
  • 1999 España. Aparece la “Ley Orgánica De Protección De Datos De Carácter Personal” (LOPD).
  • 2007 España. Aparece el Reglamento de Desarrollo de la LOPD (RD1720/2007).

jueves, 14 de junio de 2012

La recogida de datos por parte de la Policía Local

La Agencia Española de Protección de Datos (AEPD) aclara en su boletín LOPD en la Empresa algunas cuestiones relacionadas con la recogida de datos por parte de la Policía Local.

En este sentido, el informe 0512/2010 de la AEPD resuelve la consulta planteada sobre la posible vulneración de la LOPD, y a su Reglamento de desarrollo, por el hecho de que la policía local que controla el acceso a las dependencias municipales donde se celebran los Plenos del Ayuntamiento (Sala de Juntas), recoja los datos de nombre, apellidos, DNI y lugar al que se dirigen de las personas que pretendan presenciar dichos Plenos, siendo la finalidad de su recogida el control de seguridad de acceso al edificio.

Tal y como se desprende de dicho informe jurídico, la Policía Local forma parte de las Fuerzas y Cuerpos de Seguridad del Estado, pues así lo dispone el artículo 1.4 de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad. En consecuencia, si el Ayuntamiento tiene atribuida la prestación del servicio de seguridad y control de acceso al edificio a la unidad correspondiente de la policía local, no estaríamos ante un supuesto de vulneración de la LOPD. 
No obstante, ello implica que el Ayuntamiento, como responsable del fichero, deberá asumir el cumplimiento de todas las obligaciones establecidas en la LOPD, incluida la inscripción del fichero en el Registro General de Protección de Datos. Por tanto, debería indicarse al interesado qué dependencia municipal va a ser responsable del tratamiento, ante la que poder ejercitar sus derechos y la finalidad del fichero.
En conclusión, hay que tener en cuenta que, siempre que se traten datos personales, deben implantarse las medidas de seguridad oportunas.

Imagen: Freedigitalphotos.net

jueves, 7 de junio de 2012

Difusión por email de ficheros con datos personales


Toda empresa debe ofrecer formación adecuada para el personal que trata datos personales, ya que un uso indebido de estos datos puede suponer sanciones económicas importantes. Desde INPD, somos conscientes de lo importante que es conocer la legislación vigente para cumplirla. Por eso os traemos un ejemplo de un caso real, gestionado por la Agencia Española de Protección de Datos (AEPD).

En el procedimiento sancionador PS/00559/2011 de la AEPD podemos ver la sanción que puede sufrir una entidad por enviar de forma accidental un fichero que contenía datos personales, adjunto a un correo electrónico.

Una usuaria denunció a un centro de bienestar del que fue cliente, por haberle remitido un correo electrónico que contenía un fichero adjunto con datos de 9.293 personas, incluyendo los suyos. Dicho fichero contenía datos personales de las personas afectadas, tales como nombre, apellidos, domicilio, teléfono (línea fija y móvil), dirección email, número de DNI y sexo.

Durante las actuaciones quedó acreditado que la empresa denunciada remitió a terceros un documento en el que figuran los datos personales de abonados de la entidad. Información que no puede ser facilitada a terceros, salvo consentimiento de los afectados o que exista una habilitación legal que permita su comunicación, circunstancias que no se dan en el presente caso.

Por tanto, queda acreditado que, por parte de dicha entidad, se vulnera el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado que terceras personas tuviesen acceso a datos personales de los afectados. Como resultado, el centro de bienestar demandado obtuvo una sanción de 3.000 € por vulneración del artículo 10 de la LOPD relativo al deber de secreto.
Imagen: freedigitalphotos.net

jueves, 31 de mayo de 2012

Ámbitos de aplicación de la LOPD



Cualquier organización, empresa o autónomo que recoja, almacene o manipule datos personales ha de cumplir con la Ley Orgánica de Protección de Datos (LOPD).

Según establece la Ley, "la LOPD será aplicable a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de esos datos por los sectores público y privado".

Por tanto, están incluidos dentro de esta Ley, tanto los datos de carácter personal en soporte informático, como los registrados en soporte papel. Además, la LOPD es de aplicación, tanto para las entidades privadas, como para los organismos públicos.

Por tanto, la LOPD es de obligado cumplimiento para:
  • Empresas (sea cual sea su tamaño).
  • Autónomos.
  • Profesionales liberales.
  • Asociaciones, Fundaciones.
  • Comunidades de vecinos.
  • Organismos y administraciones públicas.
  • Entidades sin ánimo de lucro.
  • Cualquier organización que maneje datos de carácter personal.

martes, 22 de mayo de 2012

EIGRA presenta su nueva identidad corporativa

EIGRA (Entidad Ibérica de Gestión y Recuperación de Activos), empresa de la que forman parte Transcobro, Directcobro e INPD (Instituto Nacional de Protección de Datos), ha renovado su identidad corporativa con un diseño mucho más fresco y dinámico.

Para ello, se ha buscado un logo que recuerda a la forma de una colmena, como símbolo de fiabilidad y solidez, pero a su vez, de capacidad de adaptación ante cambios inesperados. Todos ellos, valores que identifican a la marca.

Con este nuevo diseño se ha buscado la unificación de la imagen de las cuatro marcas, mediante un sistema flexible, una familia de logosímbolos, que permite la combinación de varios logos de forma atractiva y elegante, acorde con las tendencias más actuales del diseño.

Para no romper con la estética de dos de las marcas más consolidadas de EIGRA, se han mantenido las iniciales de los logosímbolos de Transcobro y Directcobro, integrándolos en la nueva estructura. En cambio, en el caso del logotipo de INPD se ha optado por llevar a cabo un rediseño del mismo, adaptándolo totalmente a la nueva imagen del grupo.

Una nueva imagen que unifica las señas de identidad de las marcas de EIGRA y que supone un paso más en la mejora de la identidad corporativa de la compañía.

jueves, 17 de mayo de 2012

Las autoridades europeas promueven una reforma de la normativa europea de protección de datos


El grupo de autoridades europeas de protección de datos aprobó, durante su sesión plenaria del 22 y 23 de marzo celebrada en Bruselas, un dictamen sobre las propuestas de reforma del marco normativo europeo de protección de datos de la Comisión Europea.

El Grupo de autoridades ofrece en el dictamen sus conclusiones generales tras el análisis de las propuestas y pone de relieve las áreas de preocupación y sugerencias de mejora. En líneas generales, el Grupo de autoridades europeas de protección de datos da la bienvenida a las propuestas presentadas por el Comisión Europea, que buscan reforzar los derechos de los interesados, para mejorar la responsabilidad de las empresas y fortalecer la posición de las autoridades de protección de datos, a nivel nacional e internacional.

El dictamen señala que, sin perjuicio de seguir mejorando, las normas propuestas pueden reducir significativamente la fragmentación existente y reforzar la protección de datos en Europa. El Grupo de Trabajo hace un llamamiento al Consejo y los miembros del Parlamento Europeo para aprovechar la oportunidad para mejorar las propuestas y la protección de los datos personales en la Unión Europea.

El Grupo de Trabajo, en particular, acoge con satisfacción la inclusión de disposiciones que incentiven a los responsables a invertir en materia de protección de datos -como en evaluaciones de impacto para la privacidad, privacidad en el diseño y en la privacidad por defecto-, así como las propuestas de clarificar los principios de responsabilidad y la rendición de cuentas en el tratamiento de los datos personales.

El Grupo de Autoridades se muestra a favor de desarrollar el concepto de “ventanilla única” para las empresas, con una “autoridad líder” designada en función del lugar en el que la compañía tenga su establecimiento principal en Europa. 


A su vez, acoge también favorablemente la existencia de una clara obligación para las autoridades de protección de datos de cooperar entre sí y de utilizar el “mecanismo de consistencia” previsto en el Reglamento para asegurar que éste se aplica coherentemente en los casos en que ciudadanos de varios Estados Miembros pueden verse afectados por operaciones de tratamiento de datos. Ello debe conducir a una interpretación y aplicación consistente del marco legal de la UE y, consecuentemente, creará seguridad jurídica. 

Desde Instituto Nacional de Protección de Datos (INPD) os mantendremos informados de los cambios más importantes en la normativa europea para que tu empresa no incurra en ningún delito.

Imagen: FreeDigitalPhotos.net