//
Archivos

Archivos para

Documento de seguridad y Check list de control para nivel medio/alto de seguridad.

El artículo 88.4.b) del RLOPD estable entre las medidas de seguridad a llevar a cabo en entidades con ficheros de nivel medio y/o alto de seguridad, la realización de controles periódicos de verificación. Textualmente el citado artículo dice:

4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:

b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento

Ante esta obligación legal surgen algunas preguntas, ¿en qué consisten estos controles periódicos? ¿Cómo deben llevarse a cabo? ¿qué pasa si no los ejecuto?.

Esta obligación consiste, básicamente, en una revisión del cumplimiento de la aplicación de las medidas, procedimientos y estándares que con anterioridad hemos incluido en el documento de seguridad, y que tienen como finalidad garantizar el nivel adecuado de protección de los ficheros, tal como es exigido en el RLOPD.

Aunque el reglamento no establece la frecuencia en que estos controles se deben llevar a cabo, es obvio que los mismos deben estar coordinados con la auditoría obligatoria bienal, de tal forma que la ejecución de los mismos y la ejecución correcta de los procedimientos, nos ayuden a pasar con éxito la citada auditoría bienal.



Citemos algunos de los controles de verificación que deberíamos tener incorporados a nuestro check list de comprobación y verificación:

1.- Registro de incidencia.

2.- Revisión de informes semestrales de incidencias.

3.- Inventario de hardware.

4.- Inventario de software.

5.- Inventario de ficheros y sus posibles variaciones de contenidos así como finalidad.

6.- Cumplimiento de la política de seguridad exigida.

7.- Configuración y puesta al día del sistema de información. Tanto automatizado como no automatizado.

8.- Comprobación del nivel de seguridad asignado a los ficheros.

9.- Verificación del listado de usuarios: altas/bajas/modificaciones. Comprobación de los niveles de acceso adecuados  asignados a los mismos.

10.- Verificación del registro de salidas y entradas de soportes. Ejecución, control y puesta al día del mismo.

11.- Verificación de los proveedores y prestadores de servicio que tratan con nuestra entidad. Alta/baja/modificación de los mismos, su correcta regulación con contrato de art. 12 y 83, dependiendo de si acceden o no a datos; nivel de cumplimiento de los mismos, ante la obligación impuesta por el reglamento d velar por el cumplimiento de los encargados.

12.- Procedimientos de autenticación e identificación. Contraseñas aplicadas, nivel de seguridad de las mismas, frecuencia de cambios.

13.- Procedimiento de envíos de ficheros. En el nivel alto de seguridad, los mismos solo se pueden efectuar de forma cifrada.

14.- Política de backup y copias respaldo. Política de recuperación ante desastres y de continuidad de la actividad. Copia externa de seguridad, exigible en nivel alto.

15.- Verificación de informática móvil y teletrabajo, así como conexiones remotas para los usuarios autorizados. Cifrado de contenidos en estos dispositivos y medidas de seguridad adicionales.

16.- Revisión de la política de uso de medios tecnológicos aplicadas a los usuarios del sistema; actualización de la misma.

17.- Atención a los cambios normativos y jurisprudencia aplicables.

Estos podrían ser algunos de los controles que podríamos incluir, con sus respectivos subapartados, a fin de comprobar y asegurar el correcto nivel de seguridad aplicado a los ficheros.

Y, para concluir, hay que recordar que el artículo 88.4.b) que da lugar a la ejecución de estos controles de verificación, están incluidos en el Título VIII del Reglamento, por lo que el incumplimiento de esta medida de seguridad, a tenor del artículo 44.3.h) tendrá la consideración de infracción grave, castigable con multa de 40.000€ a 300.000€ por no “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.”

 

Sanción de 50.000€ a NCG BANCO SA (Caixa Galicia) por reclamar una deuda inexistente.

La AEPD ha sancionado a NCG BANCO, S.A. (CAIXA GALICIA) multa de 50.000 € (cincuenta mil euros) por la infracción del artículo 4.3 de la LOPD, en relación con el artículo 29.4 de la misma norma y en relación también con el artículo 38 del RLOPD. La sanción ha sido tipificada como grave.

Según consta en el procedimiento sancionador, el cliente ha denunciado la inclusión de sus datos de carácter personal en el fichero de solvencia patrimonial y crédito BADEXCUG sin requerimiento previo de pago por deuda inexistente por parte de CAJA DE AHORROS DE GALICIA (en adelante la entidad denunciada o CAIXA GALICIA y en la actualidad NCG BANCO, S.A.).

El importe de la cantidad reclamada por Caixa Galicia ascendía a 1.600,00€ iniciales, que luego ascendió finalmente a 1.613,47€.

Entre los hechos probados destacamos los siguientes:

1.- Inexistencia de la deuda, dado que la compra a financiar fue anulada por desistimiento, con devolución de los enseres previamente objeto de la operación.

2.- Que BADEXCUG atendió inicialmente el derecho de cancelación ejercido por el cliente, pero que con posterioridad, Caixa Galicia volvió a incluir la deuda en el fichero.

3.- No se acredita, por parte de Caixa Galicia, el requerimiento previo de pago a la inclusión de la deuda en el registro que gestiona BADEXCUG.

Esto supone una vulneración del principio de calidad de dato de la que debe responder CAJA DE AHORROS DE GALICIA (CAIXA GALICIA) por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra para que se incluyan y mantengan en el fichero de solvencia patrimonial y crédito.

Aunque Caixa Galicia cuenta con un sistema estandarizado y automático de envío de comunicaciones de cartas y requerimientos de pago, no se ha aportado pruebas suficientes del ejercicio del requerimiento de pago, ya que el registro informático no constituye en sí mismo una prueba del requerimiento de pago.

Fuente: AEPD

Sanción de 50.000€ a la CAM (Caja de Ahorros del Mediterráneo) por incluir como moroso a un cliente sin requerir previamente el pago..

La AEPD ha sancionado a la CAM (Caja de Ahorros del Mediterráneo) por incluir en un fichero de solvencia y crédito a un cliente por una deuda sin requerimiento previo de pago. Este hecho ha sido considerado, a juicio de la AEPD, como un hecho punible al infringirse el artículo 4.3 de la LOPD, en relación con el artículo 29.4 de la misma, y en relación, también, con el artículo 38 del RLOPD. La infracción, tipificada como grave, ha sido sancionada con una multa de 50.000€.

Según consta en el procedimiento sancionador, la CAM incluyó en el fichero de ASNEF y BADEXCUB los datos personales del cliente por una deuda de 1.206,49€ y de 462.50€.

Entre los hechos probados, según el procedimiento sancionador, podemos destacar los siguientes aspectos:

1.- Que el Defensor de Cliente de las Cajas Valencianas resolvió  la reclamación presentada por el CLIENTE contra la CAJA DE AHORROS DEL MEDITERRANEO por incidencias en dicho préstamo, considerando que esta entidad “ha incurrido en una irregular práctica bancaria” (folios 6 a 10). En dicha Resolución se dice que:

“Además la entidad no ha acreditado ante este Defensor que previamente a la inclusión de la reclamante en el fichero BADEXCUG se le notificara esta decisión”, según criterio al respecto del Banco de España y expuesto en sus memorias anuales (folio 8).

2.- Que CAJA DE AHORROS DEL MEDITERRANEO por otra parte no ha aportado a esta Agencia Española de Protección de Datos documentación que acredite que llevara a cabo requerimientos de pago a su cliente por las deudas importes 1.206,49 € y 462,50 €, respectivamente, y con carácter previo a la inclusión de sus datos de carácter personal (en concreto nombre, apellidos, domicilio y núm. de DNI) en los ficheros de solvencia patrimonial y crédito ASNEF Y BADEXCUG.

Los hechos anteriormente relatados son contrarios al principio de calidad de dato consagrado en el artículo 4.3 en relación con el 29.4 de la LOPD y en relación también con el artículo 38 del RLOPD, toda vez que CAJA DE AHORROS DEL MEDITERRANEO mantuvo indebidamente los datos de la denunciante en sus propios ficheros y, posteriormente, los comunicó al fichero de solvencia ASNEF y BADEXCUG, sin que dicha inscripción hubiese respondido a su situación de entonces (“actual”), al no cumplir con los requisitos establecidos en la normativa precitada sobre protección de datos de carácter personal.

Todo ello, sin que los datos mantenidos en el fichero de CAJA DE AHORROS DEL MEDITERRANEO respondiera a la situación actual de la denunciante, pues la caja de ahorros incluyó sus datos personales en ASNEF y BADEXCUG sin el preceptivo requerimiento previo de pago con advertencia efectiva de que podía producirse dicha inclusión como morosa.

Esto supone una vulneración del principio de calidad de dato de la que debe responder CAJA DE AHORROS DEL MEDITERRANEO por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra para que se incluyan y mantengan en el fichero de solvencia patrimonial y crédito.

Hay que recordar que el artículo 29.4 de la LOPD dice:

“Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos.”

Así también, el artículo 38 del RLOPD bajo el epígrafe, “Requisitos para la inclusión de los datos” relativos al cumplimiento o incumplimiento de obligaciones dinerarias, dice lo siguiente:

Artículo 38. Requisitos para la inclusión de los datos.

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación. 

Soluciones de seguridad para la empresa: seguridad de las comunicaciones

La seguridad de las comunicaciones es una de las medidas de seguridad más importantes de cara a impedir el acceso a la información que se transmite y garantizar que esta solo sea accedida y enviada por los canales y el personal autorizado.


La evolución de las Tecnologías de la Información ha traído consigo una serie de amenazas que deben contrarrestarse con medidas de seguridad adecuadas que garanticen la protección efectiva de las comunicaciones y los derechos privativos de los usuarios. Para ello es necesario implementar redes de comunicaciones optimizadas y convergentes, consiguiendo que los datos críticos se transmitan de manera segura, y estén disponibles.

Una comunicación segura, debe garantizar la identidad de los que se comunican en la red (Autenticación), verificar que la información transmitida no ha sido alterada (Integridad), y asegurarse que la comunicación sea confidencial (Confidencialidad). Cumpliendo estas características se contribuye a garantizar la máxima seguridad de las comunicaciones.

Una de las principales dificultades que se presentan en las empresas desde el punto de vista de la seguridad, es la comunicación a través de redes, especialmente Internet. Para ello se hace necesario integrar soluciones capaces de planificar, gestionar e implementar medidas de seguridad para que las comunicaciones sean seguras.

Para controlar el tráfico de red y así optimizar las comunicaciones, existen diferentes herramientas destinadas al control de las infraestructuras de red en cualquier tipo de organización, permitiendo controlar el tráfico generado y recibido, y que además son capaces de detectar cualquier tipo de incidentes que pueda poner en riesgo la disponibilidad de las comunicaciones.

Otra de las medidas de seguridad básicas, es disponer de herramientas cuyo objetivo sea proteger la disponibilidad de las infraestructuras de comunicaciones y controlar el tráfico de red, cumpliendo las políticas de seguridad, así como un uso adecuado de los recursos.

Existen multitud de soluciones de seguridad destinadas a establecer un perímetro de seguridad y garantizar las comunicaciones seguras evitando accesos no autorizados y ataques de redes externas y de Internet:

  • Cortafuegos (firewall): Es una solución de seguridad configurable para bloquear ó denegar el acceso no autorizado, permitiendo al mismo tiempo las comunicaciones autorizadas. A menudo utilizado para restringir el acceso a una red interna desde Internet.
  • Redes privadas virtuales o VPN (Virtual Private Network): Estas herramientas son utilizadas para interconectar diferentes sedes de una empresa, mediante la creación de conexiones cifradas a través de internet.
  • Sistemas de prevención y detección de intrusiones IPS/IDS: Se trata de herramientas utilizadas para detectar y prevenir accesos no autorizados a un equipo o a una red. Monitorizan el tráfico para determinar y prevenir comportamientos sospechosos.
  • UTM (Unified Thread Management): las soluciones basadas en la “Gestión Unificada de Amenazas”, procesan el tráfico a modo de proxy, analizando y dejando pasar el tráfico en función de las políticas configuradas en el dispositivo. Engloba varias funcionalidades de seguridad en red como cortafuegos, VPN, IDS, etc.
  • Filtros de contenidos Son herramientas para controlar, restringir y limitar el acceso a contenidos web.

Actualmente, las empresas presentan gran cantidad de información, lo cual conlleva una serie de necesidades que han de ser cubiertas: actualización de sistemas, implementación, soporte técnico y, sobre todo, un sistema de seguridad informática que proteja la operativa de negocio de la empresa.

Desde INTECO-CERT, además de la utilización de las herramientas comentadas, se aconseja reforzar la seguridad con un conjunto de recomendaciones, que ayudarán a mantener un nivel de seguridad adecuado, así como estar al día sobre las amenazas y riesgos que aparecen constantemente.

Fuente: Inteco

¿Cuál es el plazo del que dispongo para conservar los datos personales? ¿Cuándo puedo eliminarlos?

Esta es una pregunta que en multitud de ocasiones nos han realizado tanto nuestros clientes como aquellos que han asistido a nuestros cursos de formación.

La respuesta a esta pregunta la podemos ver detallada y muy bien explicada en el Informe Jurídico 0408/2010 emitido por la Agencia de Protección de Datos que a continuación insertamos en su integridad para que esta duda pueda ser disipada en la mayoría de los casos, aunque habrá que reconocer que en ocasiones puntuales nos deberemos ajustar o alinear con las distintas legislaciones que pudieran verse afectadas.

Dentro de los principios recogidos en el artículo 4 de la Ley Orgánica 15/1999 bajo el título “Calidad de los datos” su número 5 recoge el relativo a la conservación de éstos disponiendo que “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.”

En desarrollo de este precepto el artículo 8.6 del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre, dispone “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.”

No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.”

A este respecto, debe señalarse que la cancelación de los datos no supone su eliminación automática, sino su bloqueo tal y como dispone el artículo 16.3 de la Ley Orgánica 15/1999 al establecer que “La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.”

El aludido Reglamento de desarrollo de la Ley Orgánica 15/1999, define en su artículo 5.1. b) la cancelación como “Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.”

En cuanto al modo de llevar a cabo el bloqueo, se señalaba en informe de esta Agencia de 5 de junio de 2007 que “deberá efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en el centro consultante, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedaría enteramente restringido a las personas a las que se ha hecho referencia.”

Respecto del plazo de cancelación, la previsión contenida en el artículo 16.3 se complementa con la previsión contenida en el artículo16. 5 que indica que “los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado”.

En informe de 1 de agosto de 2005 se indicaba que resulta imposible establecer una enumeración taxativa de los períodos en que el dato habrá de permanecer bloqueado, en relación con lo dispuesto en el artículo 16.3, no obstante, señalaba los siguientes criterios:

“En cuanto a las causas que podrán motivar la conservación del dato, sujeto a su previo bloqueo, además de la relación jurídica con el afectado, a la que se refiere el artículo 16.5 de la Ley Orgánica 15/1999, éstas deberán fundarse en lo dispuesto “en las disposiciones aplicables” o a la “atención de las posibles responsabilidades nacidas del tratamiento”, tal y como prevé dicha Ley.

En este sentido, para la determinación del período de bloqueo de los datos debe tenerse en cuenta que la Sentencia del tribunal Constitucional 292/2000, de 30 de noviembre, viene a imponer, expresamente, el principio de reserva de Ley en cuanto a las limitaciones al derecho fundamental de protección de datos de carácter personal, de forma que cualquier limitación a ese derecho (como sería la derivada del artículo 16.3 de la Ley) deberá constar en una disposición con rango de Ley para que el bloqueo de los datos pueda considerarse lícitamente efectuado. Así, a título de ejemplo, podría considerarse que el bloqueo habrá de efectuarse durante los plazos de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento, en los términos previstos por la legislación civil o mercantil que resulte de aplicación, así como el plazo de cuatro años de prescripción de las deudas tributarias, en cuanto los datos puedan revestir trascendencia desde el punto de vista tributario (habida cuenta de la obligación de conservación que impone el artículo 111 de la Ley General Tributarias y el plazo legal de prescripción de cuatro años previsto en el artículo 24 de la Ley de Derechos y Garantías de los Contribuyentes).

En todo caso, debe recordarse que el mantenimiento del dato bloqueado, supone una excepción al borrado físico del mismo que, en definitiva, es el fin último de la cancelación (tal y como prevé el propio artículo 16.3, al indicar que “cumplido el citado plazo deberá procederse a la supresión).”

A los períodos mencionados en el informe citado cabe añadir el plazo de prescripción de 3 años, previsto en el artículo 47.1 de la propia Ley Orgánica 15/1999 en relación con las conductas constitutivas de infracción muy grave, sin perjuicio de que otras normas con rango de Ley, en aquellos concretos sectores
en los que actúe en representación o defensa de su cliente, puedan establecer otros plazos de conservación de los datos.

Por consiguiente, los datos deberán cancelarse una vez hayan dejado de ser necesarios para la finalidad para la que se recabaron, manteniéndose bloqueados, en los términos vistos, al menos durante el tiempo necesario para la prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula al consultante con su cliente, así como los derivados de la normativa tributaria, el plazo de prescripción previsto en el artículo 47.1 de la Ley Orgánica 15/1999, o los establecidos en otras normas con rango de Ley que resulten de aplicación al caso, debiendo suprimirse los datos una vez transcurridos dichos plazos.

Fuente: AEPD

 2010-0408   Plazo de conservación de datos personales

¿Vulneramos el deber de secreto cuando entregamos documentación con datos personales a persona distinta del interesado?

El artículo 10 de la LOPD establece el deber de secreto, de tal forma que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de sí mismos y al deber de guardarlos.

Artículo 10. Deber de secreto
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Como bien indica dicho artículo en su parte final, esta obligación subsistirá aun después de finalizar la relación con el titular de los ficheros o, en su caso, con el responsable del mismo.

Por tanto, podemos afirmar que toda persona o entidad que maneje información de carácter personal resulta obligada a mantener su confidencialidad y a no ceder dicha información a nadie sin el consentimiento del titular de los datos personales, salvo que concurra alguna de las excepciones reguladas en el artículo 11.2 de la LOPD.

Por ello, la entrega de documentación con datos personales a persona distinta del interesado tiene la consideración de infracción del deber de secreto; infracción que con la actual redacción del Título VII ha pasado a ser tipificada como grave, siendo sancionable con multa de 40.001€ a 300.000€.

Podemos ver algunos casos de este tipo de infracción en los procedimientos sancionadores PS/00271/2011 y PS.

En el primiero de ellos, el PS/00271/2011 se sanciona al Sindicato CGT de Hostelería, Alimentación y Comercio por “revelar la dirección de un familiar en un acto público de una asamblea de trabajo celebrada el 28 de junio del 2010, en el que se entregó un documento con dicha dirección a todos los asistentes”… En este caso, la sanción ascendió a 601,00€ por infracción del artículo 10.

En el segundo de ellos, el PS/00309/2011, se sanciona a COMUNIDAD DE PROPIETARIOS FASE CUMBRES DE LA URBANIZACIÓN CUMBRES DE CALICANTO, EN TORRENT, Valencia, porque “en una vía pública aparecen expuestos en un tablón, una serie de listados pertenecientes a la ASOCIACION CIVIL PROPIETARIOS FASE CUMBRES, no siendo esa la sede de la misma. En dicho tablón, aparecen los supuestos deudores a la Asociación.”

Esta lista, según manifiesta el procedimiento sancionador, dentro de los hechos probados se señala que en dicho tabló se publicaron “unos listados que contienen el punto 6 del acta de la Junta celebrada el 24/07/2010. (272 a 274, 282) con datos personales de deudores, titulado “Liquidación de recibos pendientes de pago, acuerdo liquidatario y actualización de propietarios con recibos pendientes de pago.”. Dicho listado en columnas identifica el número de parcela y la deuda. (289 a 291, 272, 280 a 293). También, según la citada acta notarial, figuraba expuesta la hoja del acta de “Lista de asistentes” que identifica nombre y apellidos con el número de la parcela de la que se es titular. La indicada vía pública es de uso común y público (269).”

Por este hecho, revelar a terceros documentación con datos personales en un espacio común y público, la AEPD sancionó a dicha comunidad de vecinos por una infracción del artículo 10 de la LOPD con un sanción de 1.200€.

Por tanto, y a modo de resumen, recordar que la entrega de documentación con datos personales a persona distinta del interesado, constituye una vulneración del deber de secreto.

Compras seguras utilizando un Smartphone

Debido al crecimiento del número de «smartphones» con conexión a Internet, es cada vez más frecuente que se utilicen para realizar compras online y acceder a servicios de banca online, por ello hay que tomar ciertas precauciones.

Un Smartphone es un dispositivo que une las posibilidades de un ordenador con las de un teléfono. Esto ha provocado que el número de este tipo de terminales esté creciendo de forma espectacular, lo que unido a la posibilidad de conexión a Internet vía Wifi o red móvil hace que el número de usuarios que lo utiliza para realizar gestiones en Internet, también esté aumentado considerablemente.

Las amenazas (se abre en nueva ventana) a las que están sujetos estos dispositivos en las transacciones en Internet, son las mismas de las que posee un ordenador de sobremesa o portátil, con una diferencia importante, el usuario no está tan concienciado de los posibles problemas como con los ordenadores.

Para que se puedan realizar transacciones de forma segura (se abre en nueva ventana) como compras en línea y acceso a banca online, es necesario tomar una serie de medidas de prevención como:

  1. Tener el sistema y las aplicaciones instaladas actualizadas.
  2. Tener algún software antimalware (se abre en nueva ventana) instalado
  3. Como se utilizarán varias contraseñas, utilizar algún software de gestión de las mismas (se abre en nueva ventana) para no almacenarlas en un fichero de texto
  4. En caso de ser posible, instalar un navegador lo más seguro posible
  5. Instalar las aplicaciones de banca y otros servicios online
  6. Teclear la dirección URL de las páginas en las que entremos, o bien usar «Favoritos» almacenados previamente, pero nunca utilizar enlaces que llegan en correos electrónicos, SMS o MMS
  7. Verificar que las comunicaciones cuando se transmiten datos sensibles esten cifradas (se abre en nueva ventana)
  8. Limitar el uso de redes Wifi públicas, aunque tengan contraseña, y evitar SIEMPRE el uso de redes Wifi abiertas para este tipo de operaciones. En la medida de lo posible conectarse a través del 3G
  9. Utilizar medios de pago fiables (PayPal, Visa, etc.)

Las recomendaciones (se abre en nueva ventana) son básicamente las mismas que se proponen para el acceso a este tipo de servicios desde cualquier ordenador, con el matiz de las redes Wifi. Esto es así debido a que se cambia el dispositivo que usamos para acceder a Internet, pero los riesgos son los mismos.

Se puede ampliar la información en el documento: Recomendaciones para el uso seguro de dispositivos móviles (se abre en nueva ventana).

Fuente: Inteco

 

Oposición al tratamiento de la huella dactilar por un trabajador

Un trabajador del Ayuntamiento de Ándujar ejerce su derecho de oposición antes de que se recaben y traten sus datos biométricos con objeto del control del horario laboral. ¿Puede el ayuntamiento conceder este derecho? ¿Puede el ayuntamiento tratar su huella dactilar?.

Este caso de puede ver en el procedimiento TD/01755/2009. Examinemos los hechos expuestos en este procedimiento:

El trabajador ejerce su derecho de oposición al tratamiento antes de que el Ayuntamiento trate el dato; el Ayuntamiento deniega motivadamente la solicitud de derecho de oposición.

El artículo 6.2 de la Ley 15/1999 señala lo siguiente:

“2.- No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal.  En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

El artículo 34 del Reglamento de la LOPD aprobado por el Real Decreto 1720/2007, de 21 de diciembre (en lo sucesivo RLOPD), establece en relación con el derecho de oposición lo siguiente:

“El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:

a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario.

El artículo 35 del RLOPD regula el ejercicio del derecho de oposición, su tenor literal expresa:
“1. El derecho de oposición se ejercitará mediante solicitud dirigida al responsable del tratamiento.
Cuando la oposición se realice con base en la letra a) del artículo anterior, en la solicitud deberán hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho.

En el supuesto aquí analizado, el reclamante se opone a que la entidad reclamada trate su huella dactilar, al tratarse de un dato biométrico permite la identificación de su titular, por ello y teniendo en cuenta la definición de dato personal que se recoge en el artículo 3 a) de la LOPD “cualquier información concerniente a personas físicas identificadas o identificables”, su tratamiento deberá ajustarse a la LOPD.

Ahora bien, el reclamante es un trabajador del AYUNTAMIENTO DE ANDÚJAR, por tanto les une una relación estatuaria que permite que la entidad pueda tratar datos personales del reclamante sin precisar del consentimiento de su titular. Nos encontramos ante una de las excepciones recogidas en el artículo 6 de la LOPD, anteriormente citado, en su apartado segundo este artículo hace mención a aquellos casos referidos a una relación laboral o administrativa.

De igual manera, hay que tener en cuenta que la administración pública reclamada solicita la huella dactilar del reclamante para implantar un sistema de control horario que permita establecer el tiempo de permanencia del funcionario o trabajador de dicha administración pública en su puesto de trabajo y asegurarse de este modo el debido cumplimiento de las obligaciones derivadas de la relación estatutaria que les vincula.

De todo lo anterior, se puede concluir que la entidad reclamada puede tratar el dato de huella dactilar del reclamante sin su consentimiento pero con pleno respeto de la LOPD, pues dicho dato podrá ser utilizado por la Administración Pública única y exclusivamente para la función de control de la presencia del trabajador, tal y como se ha venido señalando, pero no para ninguna otra finalidad distinta, puesto que el articulo 4.2 de la LOPD dispone claramente que “los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.”

Tal y como ha quedado reflejado la relación estatutaria que vincula a las dos partes permite que se traten datos personales sin el consentimiento de su titular, no obstante la LOPD en el apartado cuarto de su artículo 6 también prevé que en esos casos, el titular de los datos pueda oponerse a sus tratamiento siempre que existan motivos fundados y legítimos relativos a una concreta situación personal.

El reclamante se opuso a que trataran su huella dactilar, basando su solicitud en una serie de motivos que la entidad reclamada no ha aceptado como válidos desestimando la oposición y notificándoselo al reclamante. Este desistimiento está fundado en la facultad reconocida por ley a la entidad reclamada para controlar la permanencia de sus trabajadores en el puesto de trabajo y el cumplimiento de la jornada laboral.

Por último, en el caso que nos ocupa, ha quedado acreditado que el reclamante ejercitó su derecho de oposición al tratamiento de su huella dactilar antes de que dicho dato fuese recabado. Por lo tanto, no procede oponerse al tratamiento de dicho dato de carácter personal antes de haber sido recabado el mismo.

En este caso vemos como claramente no procede el ejercicio de oposición; el Ayuntamiento actuó correctamente al no conceder dicho derecho; y, además, no era necesario el consentimiento del trabajador para la finalidad de control horario.

Fuente: AEPD.

TD 01755 2009 Resolucion de fecha 22 04 2010 Art ii culo 17 LOPD

Las Autoridades europeas de protección de datos aprueban un Dictamen sobre las propuestas de reforma de la normativa europea protección de datos

(Madrid, 30 de marzo de 2012). El grupo de autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29) ha aprobado, durante su sesión plenaria del 22 y 23 de marzo celebrada en Bruselas con la participación del director de la AEPD, José Luis Rodríguez Álvarez, un dictamen sobre las propuestas de reforma del marco normativo europeo de protección de datos de la Comisión Europea.

El Grupo de autoridades ofrece en el dictamen sus conclusiones generales tras el análisis de las propuestas y pone de relieve las áreas de preocupación y sugerencias de mejora.

En líneas generales el Grupo de autoridades europeas de protección de datos da la bienvenida a las propuestas presentadas por el Comisión Europea, que buscan reforzar los derechos de los interesados, para mejorar la responsabilidad de las empresas y fortalecer la posición de las autoridades de protección de datos, a nivel nacional e internacional.

El dictamen señala que, sin perjuicio de seguir mejorando, las normas propuestas pueden reducir significativamente la fragmentación existente y reforzar la protección de datos en Europa. El Grupo de Trabajo hace un llamamiento al Consejo y los miembros del Parlamento Europeo para aprovechar la oportunidad para mejorar las propuestas y la protección de los datos personales en la Unión Europea.

El Grupo de Trabajo, en particular, acoge con satisfacción la inclusión de disposiciones que incentiven a los responsables a invertir en materia de protección de datos (como en evaluaciones de impacto para la privacidad, privacidad en el diseño y en la privacidad por defecto), así como las propuestas de clarificar los principios de responsabilidad y la rendición de cuentas en el tratamiento de los datos personales.

El Grupo de Autoridades se muestra a favor de desarrollar el concepto de “ventanilla única” para las empresas, con una “autoridad líder” designada en función del lugar en el que la compañía tenga su establecimiento principal en Europa. Al mismo tiempo, acoge también favorablemente la existencia de una clara obligación para las autoridades de protección de datos de cooperar entre sí y de utilizar el “mecanismo de consistencia” previsto en el Reglamento para asegurar que éste se aplica coherentemente en los casos en que ciudadanos de varios Estados Miembros pueden verse afectados por operaciones de tratamiento de datos. Ello debe conducir a una interpretación y aplicación consistente del marco legal de la UE y, consecuentemente, creará seguridad jurídica.

Sin embargo, el Grupo entiende que para que el modelo pueda funcionar, debe aclararse el modo en que se determina el país en que una compañía multinacional tiene su establecimiento principal. Esta determinación es importante, porque la noción de “establecimiento principal” tiene como principal finalidad la de poder establecer qué autoridad nacional de protección de datos debe actuar como “autoridad líder” en un caso particular o para una compañía concreta. Asimismo, hay que definir mejor las competencias de las demás autoridades de protección de datos implicadas. Debe quedar claro en todo caso que la competencia de una autoridad líder no es exclusiva. Ello significa que la competencia de la autoridad líder está sometida a las obligaciones de cooperar, proporcionar y aceptar asistencia recíproca, hacer uso del mecanismo de consistencia y actuar de acuerdo con las demás autoridades de protección de datos.

El Grupo de Autoridades también manifiesta preocupación sobre el papel protagonista que asume la Comisión en las propuestas, tanto a través del uso de actos delegados o de ejecución como en casos individuales que deben ser tratados por las autoridades de supervisión en el Consejo Europeo de Protección de Datos en el marco del mecanismo de consistencia.

En relación con la Directiva sobre protección de datos en el ámbito policial y judicial penal, el Grupo de Autoridades lamenta la falta de ambición de la Comisión y subraya la necesidad de unas disposiciones más rigurosas. El Grupo está particularmente preocupado ante la ausencia de la Directiva de principios de protección de datos tan importantes como la limitación de los periodos de retención, transparencia y exactitud y los datos personales.

El Grupo de Trabajo, en la Opinión, trata también el ámbito de aplicación de la propuesta de Directiva y su coherencia con el Reglamento, entre otros temas en relación con los derechos de los interesados y las obligaciones de los responsables. Además, el Grupo valora el régimen de transferencias internacionales y la introducción de posibilidades muy amplias para excluir la aplicación de este régimen.

Por último, el Grupo de Autoridades demanda una evaluación independiente del incremento de los costes para las autoridades de protección de datos con vistas a asegurar que estas autoridades pueden desarrollar eficazmente las más amplias funciones que tanto el Reglamento como la Directiva les atribuyen.

Fuente: AEPD

Nota de prensa

Dictamen del grupo de Autoridades Europeas de Protección de Datos sobre las propuestas de reforma de la normativa europea de protección de datos (EN) 

 

Las autoridades europeas de protección de datos aprueban un Dictamen sobre el impacto en la privacidad de los sistemas de reconocimiento facial

Analiza los principales riesgos para la privacidad de los sistemas de reconocimiento facial en servicios y aplicaciones móviles y online, y su incidencia en la protección de datos.

El Dictamen establece el marco jurídico aplicable, las garantías que los proveedores de servicios deben cumplir y formula diversas recomendaciones.

Pone especial énfasis en la necesidad de que exista un consentimiento previo e informado de los usuarios para el tratamiento de las imágenes digitales.

(Madrid, 30 de marzo de 2012). El grupo de autoridades europeas de protección de datos ha aprobado, en su última reunión plenaria celebrada en Bruselas con la participación del director de la AEPD, José Luis Rodríguez Álvarez, un dictamen sobre el impacto en materia de protección de datos de los sistemas de reconocimiento facial en servicios y aplicaciones móviles y online, y principales riesgos para la privacidad derivados de estos servicios.

La finalidad de este dictamen, dirigido a órganos legislativos nacionales y europeos, a los prestadores de estos servicios y a los usuarios de dichas tecnologías, es analizar el marco jurídico y las recomendaciones aplicables a la tecnología de reconocimiento facial en el entorno online y móvil.

El documento pone de manifiesto la rápida evolución e incremento de la disponibilidad y la precisión de la tecnología de reconocimiento facial en los últimos años. Señala el hecho de las facilidades que aporta el generalizado uso de móviles con cámaras de alta resolución, que facilita a los usuarios capturar imágenes y compartirlas en tiempo real con otras personas o llevar a cabo la identificación, autenticación/comprobación o categorización de los individuos. Asimismo, destaca que en la actualidad muchos servicios online disponen de grandes colecciones de imágenes. Las autoridades de protección de datos ponen de manifiesto que si bien la mayoría de dichas imágenes son o han sido aportadas por los propios usuarios, señala que en algunos casos estas imágenes pueden también ser obtenidas (de manera ilegal) mediante el rastreo de otros sitios públicos, tales como las cachés de los buscadores.

El dictamen, que define los conceptos relacionados con las tecnologías de reconocimiento facial (imagen digital, reconocimiento facial, etc.…), analiza los riesgos para la privacidad de este tipo de servicios- como por ejemplo: los posibles tratamientos de imágenes de forma ilegal, las violaciones de la seguridad o la falta de precisión en la identificación-, a través de diferentes ejemplos y usos posibles de esta tecnología. Además, formula diversas recomendaciones y establece los requisitos que deben cumplir los prestadores de este tipo de servicios.

El documento pone especial énfasis en la necesidad de que exista un consentimiento previo e informado de los usuarios para el tratamiento de las imágenes digitales en el sistema de reconocimiento facial.

En este sentido señala que el consentimiento otorgado no puede ser derivado de una aceptación general de las condiciones del servicio -salvo que dicho servicio tenga como única finalidad el reconocimiento facial- por los que deberá ofrecerse a los usuarios una información específica de forma clara y accesible, que no puede estar incluida en las cláusulas generales de los servicios.

El grupo de autoridades europeas de protección de datos indica que- en el ámbito de uso de los sistemas de reconocimiento facial de los servicios de redes sociales- “Antes de que un usuario registrado suba una imagen a una red social, primero debe ser claramente informado de que estas imágenes estarán sujetas a un sistema de reconocimiento facial”. Además señala que a los usuarios que ya estaban registrados en el servicio de reconocimiento facial también se les solicitar su consentimiento para que su plantilla de referencia de identificación facial sea registrada en la base de datos de identificación. Respecto a los usuarios no registrados y usuarios registrados que no hayan dado su consentimiento al tratamiento de sus datos con esta finalidad, indica que no se les podrá sugerir automáticamente una etiqueta a su nombre.

Por último, el dictamen establece la necesidad de que los prestadores de servicios deban asegurarse y garantizar que las imágenes digitales de los usuarios y las plantillas de reconocimiento facial son utilizadas únicamente para la finalidad prevista, así como que adopten las medidas adecuadas para garantizar la seguridad de las mismas. También, entre otras recomendaciones, señala que los prestadores de este tipo de servicios deberían implantar herramientas para que los usuarios puedan controlar la visibilidad de sus imágenes por parte de terceros.

El Dictamen integro puede consultarse en:

Haz clic para acceder a wp192_en.pdf

“Grupo de trabajo del Artículo 29”

El grupo de autoridades europeas de protección de datos- Grupo de trabajo del Artículo 29- es el grupo consultivo compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea. El Grupo de trabajo del artículo 29 está facultado para examinar cualquier cuestión que esté relacionada con la aplicación de las directivas en materia de protección de datos para contribuir a la aplicación uniforme de las mismas. Desempeña sus funciones emitiendo recomendaciones, dictámenes y documentos de trabajo sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.

Sigue leyendo

Estadística del blog

  • 165.827 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: