//
Archivos

Archivos para

El sistema SIGO de la Guardia Civil

SIGO son las siglas de Sistema Integrado de Gestión Operativa, Análisis y Seguridad Ciudadana. Este sistema  tiene como función fusionar toda la ‘información de interés policial’ en un solo punto. S.I.G.O. o proyecto S.I.G.O es una base de datos de la Benemérita o registro sobre delitos, delincuentes, automóviles y diligencias policiales.

La idea que hay tras esta gran base de datos está la de prevenir delitos o investigarlos. Pero cuando se juega al borde del área existe el peligro cierto de vulnerar derechos fundamentales, en este caso, el derecho fundamental a la protección de nuestros datos personales, tal como recoge la STC 292/2000. Cuando se juega al borde del área hay que recordar que la línea es área y, por tanto, cualquier infracción en esa zona puede ser duramente castigada.

Este sábado, el diario http://www.elconfidencial.com publicaba un interesante artículo donde se hacía eco de las denuncias presentadas por agentes de la benemérita contra el uso y abuso de la incorporación de datos personales al sistema SIGO. Según se informa en el citado medio, nombres, direcciones, teléfonos y actividades han alimentado esta base de datos “sin consentimiento” de los ciudadanos, pasando a formar parte de sus antecedentes penales. Hasta de donde venía uno y a donde se dirigía, son campos que se han incorporado a estos ficheros.

La Unión de Guardias Civiles ha denunciado esta práctica que considera ilegal, además de las presiones que están recibiendo los agentes para “engordar artificialmente” esta base de datos. Además, se incentiva esta práctica con complementos salariales.

¿Qué dice la LOPD al respecto?.

Artículo 22. Ficheros de las Fuerzas y Cuerpos de Seguridad
1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley.
2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.
3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.

4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

Además, el artículo 4 de la LOPD establece lo siguiente:

Artículo 4. Calidad de los datos
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.

¿Son pertinentes, son necesarios, los datos que se están incluyendo en SIGO, tal como establece el artículo 4? Para los miembros de este sindicato la respuesta es NO, no son pertinentes, “son innecearios sin relevancia policial”.

Siguiendo esta información, tal como cita el diario, decido buscar mas información y entro en los foros que hay en internet integrados por miembros de la benemérita, y cuanto mas leo, mas perplejo de quedo de los comentarios que realizan los “agentes” que participan en esos foros, que van en la línea de lo que comenta el diario.

La AEPD ha abierto varios expedientes recibió diez reclamaciones en 2011, según El Confidencial, pero siempre a instancia de parte, seis de las cuales fueron tramitadas. ¿Para cuándo una acción de oficio de la propia AEPD? Aunque solo un 10% de la información que es objeto de la denuncia fuera cierta, ¿no debería la AEPD actuar como tutor o garante del derecho a la protección de datos personales de todos los ciudadanos de este país?. Solo pensar que los datos de los españoles que han silo parados en cualquier control, por la Guardia Civil en los últimos tres años, puedan haber sido incorporados de pleno a SIGO sin su consentimiento es para ponernos la piel de gallina.

Si el consentimiento es el eje vertebral de esta norma y su incumplimiento es sancionado económicamente por parte de la AEPD cuando se trata de entes privados y no públicos; si este aspecto central es de obligado cumplimiento por parte de los entes privados y, además, debemos acreditar su obtención para el tratamiento de los datos personales, esas mismas obligaciones también recaen en los ficheros que manejan los entes públicos, como lo es el fichero SIGO de la Guardia Civil, que se encuentra sujeto a la LOPD, tal como establece el artículo 22.1. Si la Guardia Civil, en un control, quiere tomar esos datos e incorporarlos al fichero SIGO, antes deberá recabar nuestro consentimiento, lo contrario sería contrario a derecho. Sin ese consentimiento, ningún ente podrá almacenar o tratar nuestros datos personales, incluido, la Guardia Civil o cualquier otro cuerpo o fuerza de seguridad del Estado.

Claro está, para recabar ese consentimiento, antes deberán cumplir con el obligado principio de información que esboza el artículo 5 de la LOPD. La información en la recogida de datos personales constituye uno de los principios de la protección de datos, un derecho del afectado y un complemento previo de la prestación del consentimiento, cuya omisión puede determinar un vicio del consentimiento para el posterior tratamiento, que origine la nulidad del mismo. Así lo ha entendido también el TC en la Sentencia 292/2000 señalando que “sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (artículo 5 de la LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.” Tanto es así que sería nulo, en caso contrarío, el consentimiento prestado cuando la información facilitada no permita al interesado conocer la finalidad a la que se destinarán los datos (STS de 26 de octubre de 2006 y STS, Sala 3ª, Sección 6ª, de 4 de abril e 2000).

¿Que os parece?

Fuente: http://www.elconfidencial.com

http://www.elconfidencial.com/espana/2012/05/27/la-guardia-civil-ficha-a-miles-de-ciudadanos-inocentes-en-un-registro-sin-su-conocimiento-98792/

 

Conceptos básicos sobre ISO 22301

¿Qué es ISO 22301?

El nombre completo de esta norma es ISO 22301:2012 Seguridad de la sociedad – Sistemas de gestión de la continuidad del negocio – Requisitos. Esta norma fue redactada por los principales especialistas en el tema y proporciona el mejor marco de referencia para gestionar la continuidad del negocio en una organización.

Relación con BS 25999-2

La ISO 22301 ha reemplazado a la 25999-2. Estas dos normas son bastante similares, pero la ISO 22301 puede ser considerada como una actualización de la BS 25999-2. Para conocer las diferencias entre ambas, por favor, consulte la infografía ISO 22301 vs. BS 25999-2.

¿Cuáles son los beneficios de la continuidad del negocio?

Si se implementa correctamente, la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de un incidente disruptivo y, en caso de producirse, la organización estará preparada para responder en forma adecuada y, de esa forma, reducir drásticamente el daño potencial de ese incidente.

¿Quién puede implementar esta norma?

Cualquier organización, grande o pequeña, con o sin fines de lucro, privada o pública. La norma está concebida de tal forma que es aplicable a cualquier tamaño o tipo de organización.

¿Cómo encaja la continuidad del negocio en la gestión general?

La continuidad del negocio es parte de la gestión general del riesgo en una compañía y tiene áreas superpuestas con la gestión de seguridad y tecnología de la información.

¿Qué es ISO 22301?

Nota: la gestión del riesgo es parte de la gestión corporativa general.

Términos básicos utilizados en la norma

  • Sistema de gestión de la continuidad del negocio (SGCN): parte del sistema general de gestión que se encarga de planificar, mantener y mejorar continuamente la continuidad del negocio.
  • Interrupción máxima aceptable (MAO): cantidad máxima de tiempo que puede estar interrumpida una actividad sin incurrir en un daño inaceptable (también Período máximo tolerable de interrupción [MTPD]).
  • Objetivo de tiempo de recuperación: tiempo predeterminado que indica cuándo se debe reanudar una actividad o se deben recuperar recursos.
  • Objetivo de punto de recuperación (RPO): pérdida máxima de datos; es decir, la cantidad mínima de datos que necesita ser restablecida.
  • Objetivo mínimo para la continuidad del negocio (MBCO): nivel mínimo de servicios o productos que necesita suministrar o producir una organización una vez que restablece sus operaciones comerciales.

Contenido de ISO 22301

La norma incluye estas secciones:

Introducción

0.1 General

0.2 El modelo Planificación-Implementación-Verificación-Mantenimiento (PDCA)

0.3 Componentes de PDCA en esta norma internacional

1 Alcance

2 Referencias normativas

3 Términos y definiciones

4 Contexto de la organización

4.1 Conocimiento de la organización y de su contexto

4.2 Conocimiento de las necesidades y expectativas de las partes interesadas

4.3 Determinación del alcance del sistema de gestión

4.4 Sistema de gestión de la continuidad del negocio

5 Liderazgo

5.1 General

5.2 Compromiso de la dirección

5.3 Política

5.4 Funciones, responsabilidades y autoridades organizativas

6 Planificación

6.1 Acciones para tratar riesgos y oportunidades

6.2 Objetivos de la continuidad del negocio y planes para alcanzarlos

7 Apoyo

7.1 Recursos

7.2 Competencia

7.3 Concienciación

7.4 Comunicación

7.5 Información documentada

8 Funcionamiento

8.1 Planificación operativa y control

8.2 Análisis de impactos en el negocio y evaluación de riesgos

8.3 Estrategia de la continuidad del negocio

8.4 Establecimiento e implementación de procedimientos de continuidad del negocio

8.5 Prueba y verificación

9 Evaluación de desempeño

9.1 Supervisión, medición, análisis y evaluación

9.2 Auditoría interna

9.3 Revisión por parte de la dirección

10 Mejoras

10.1 No conformidades y acciones correctivas

10.2 Mejora continua

Bibliografía

Documentación obligatoria

Si una organización desea implementar esta norma, necesitará la siguiente documentación obligatoria:

  • Lista de requisitos legales, normativos y de otra índole
  • Alcance del SGCN
  • Política de la Continuidad del Negocio
  • Objetivos de la continuidad del negocioes
  • Evidencia de competencias del personal
  • Registros de comunicación con las partes interesadas
  • Análisis del impacto en el negocio
  • Evaluación de riesgos, incluido un perfil de riesgo
  • Estructura de respuesta a incidentes
  • Planes de continuidad del negocio
  • Procedimientos de recuperación
  • Resultados de acciones preventivas
  • Resultados de supervisión y medición
  • Resultados de la auditoría interna
  • Resultados de la revisión por parte de la dirección
  • Resultados de acciones correctivas

Normas relacionadas

Otras normas de ayuda en la implementación de la continuidad del negocio son:

  • ISO/IEC 27031:2011 – Lineamientos para preparación de tecnología de la información y comunicación para la continuidad del negocio
  • PAS 200 – Gestión de crisis: orientación y buenas prácticas
  • PD 25666 – Orientación para prueba y verificación de programas de continuidad y contingencia
  • PD 25111 – Orientación sobre aspectos humanos de la continuidad del negocio
  • ISO/IEC 24762 – Lineamientos sobre servicios de tecnología de la información y comunicación para recuperación de desastres
  • ISO/PAS 22399 – Lineamientos sobre preparación para incidentes y gestión de continuidad operativa
  • ISO/IEC 27001 – Sistemas de gestión de seguridad de la información: requisitos

 Descargar el diagrama de implementacion

 Fuente: Cryptex

http://www.iso27001standard.com/ique-es-iso-22301

La AEPD pone en marcha su Sede electrónica para facilitar a ciudadanos, empresas y administraciones la realización de trámites a través de Internet

La Sede amplía la oferta de servicios de administración electrónica que ya viene ofreciendo la Agencia.

Los interesados podrán realizar los trámites desde su propio ordenador utilizando un certificado electrónico.

La plataforma permite solicitar la tutela de sus derechos reconocidos por la LOPD, presentar denuncias, realizar consultas, así como enviar quejas y sugerencias.

En relación con la notificación de ficheros, la Sede añade a los servicios que ya ofrecía el sistema NOTA desde 2006, nuevas funciones como solicitar una copia de la inscripción o consultar su contenido.

(Madrid, 17 de mayo de 2012). Hoy, coincidiendo con la celebración del Día de Internet, ha entrado en funcionamiento la Sede electrónica de la Agencia Española de Protección de Datos (AEPD), una plataforma que facilita a ciudadanos, empresas y administraciones la realización de trámites, el envío de solicitudes y presentación de escritos a través de Internet.

La Sede electrónica amplía la oferta de servicios de administración electrónica que ya viene ofreciendo la Agencia desde hace años, como el sistema de Notificaciones Telemáticas de la Agencia (NOTA), que funciona desde 2006.

A través de esta plataforma, los interesados podrán comunicarse con la AEPD y realizar los trámites desde su propio ordenador a través de Internet, utilizando un certificado electrónico. El certificado electrónico es un medio que permite identificar al firmante y garantizar que los contenidos no son alterados, al tiempo que asegura la confidencialidad, así como el correcto envío y recepción de los documentos.

Subsidiariamente se prevé la posibilidad para quienes no dispongan de firma o certificado electrónico, de realizar trámites cumplimentando los formularios disponibles en la Sede y enviándolos por Internet, aunque deberán remitir posteriormente un ejemplar firmado a la Agencia.

La Sede permite solicitar la tutela de derechos reconocidos por la LOPD ante la Agencia, presentar denuncias, consultar el estado de los trámites en curso, efectuar quejas y sugerencias, y enviar consultas. Existe además un espacio donde la Agencia dará cuenta de las novedades que afecten a la Sede.

Además, la Sede permite a los interesados -particulares, empresas o administraciones- notificar ficheros de forma gratuita a la AEPD, e incorpora a los servicios que ya se ofrecían, nuevas funciones como la posibilidad de solicitar una copia de la inscripción de ficheros o consultar el contenido de la inscripción.

La Sede también cuenta con un Registro Telemático, mediante el cual se pueden presentar por vía electrónica aquellas solicitudes, escritos y comunicaciones que no dispongan de un procedimiento electrónico específico y tengan relación con actuaciones que requieren la intervención de la AEPD. El Registro Telemático de la AEPD es accesible las 24 horas del día, todos los días del año.

Facilidades de la Sede Electrónica
La Sede electrónica de la AEPD ha sido diseñada para facilitar un rápido acceso a la información. Así, en la sección izquierda del portal, los usuarios podrán encontrar enlaces a aspectos como: “¿Qué es la Sede?”, “Normativa”, “Procedimientos electrónicos”, “Consultas”, “Firma electrónica” o “Novedades e incidencias”.

Para facilitar el acceso a los servicios, en el bloque central que se visualiza al acceder a la Sede electrónica figura un apartado de “Destacados”, que incluye los procedimientos más utilizados (presentación de denuncias, reclamaciones de tutela de derechos, solicitud de copia de la inscripción de ficheros, consulta del contenido de la inscripción –NOTA-, quejas y sugerencias). Debajo de este apartado figura otro llamado “Otros procedimientos”, que da acceso a todos los procedimientos.

En la sección lateral derecha puede encontrarse un listado en el que se informa acerca de los servicios a disposición de los usuarios, como los canales de acceso -electrónico, presencial y telefónico-, la fecha, hora y calendario de días hábiles; quejas y sugerencias”, así como la posibilidad de consultar el estado de los trámites en curso o los documentos aportados, entre otros.

La Sede Electrónica se complementa con un apartado de enlaces a páginas de interés, como el BOE; 060.es (oficinas de atención al ciudadano que informan sobre los servicios de las Administraciones Públicas); el DNI electrónico; el Registro Electrónico Común, o las Brigadas de Investigación Tecnológica de la Policía Nacional y la de Delitos Telemáticos de la Guardia Civil.

Fuente: AGPD

¿En qué casos es legal la cesión de datos de salud?

Debe partirse de la autorización que para el tratamiento de datos de carácter personal relativos a las salud establece el artículo 8 de la Ley Orgánica 15/1999, indicando que “Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica”

Igualmente, debe considerarse aplicable lo establecido en el artículo 7.6 de la Ley citada, que establece que los datos de carácter personal relativos a la salud podrán ser objeto de tratamiento cuando el mismo “resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médico o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra personal sujeta asimismo a una obligación equivalente de secreto”.

Por ello, y en relación con el consentimiento en cuanto a los concretos datos que hagan referencia a la salud, hay que recordar que la necesidad de consentimiento se encuentra exceptuado por el artículo 7. 3 de la Ley Orgánica en los casos en que una Ley habilite expresamente para el tratamiento, siendo así que los propios artículos 7.6 y 8 de la Ley son los que darían cobertura a este tratamiento en los supuestos en el mismo se efectúe en los términos de dichos artículos, esto es, por profesionales sanitarios sometidos a secreto profesional y con las finalidades indicadas en tales disposiciones.

            Fuera de lo anterior, los datos de salud no pueden cederse a personas que no sean profesionales médicos o sanitarios sujetos al deber de secreto profesional.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf;jsessionid=745D0872DB6098BA7E1DB88DADDACE32?idPregunta=599

¿En qué consiste el deber de guardar secreto?

El artículo 10 de la Ley Orgánica 15/1999, exige a quienes intervengan en cualquier fase del tratamiento de los datos, en el amplio sentido en que lo define el artículo 3,c), a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después de finalizar su relación con el responsable del fichero: ‘El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.’

          El incumplimiento del deber de secreto puede ser constitutivo de una sanción leve, en los términos del artículo 44.2.e), o de infracción grave de acuerdo con lo previsto en el artículo 44.3.g) en virtud del cual, ‘La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.’

           La vulneración del deber de guardar secreto sobre los datos de carácter personal especialmente protegidos a que hacen referencia los apartados 2 y 3 del artículo 7, así como de aquellos que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas, puede ser constitutivo de una sanción muy grave en los términos del artículo 44.4.g) de la Ley Orgánica 15/1999.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf;jsessionid=745D0872DB6098BA7E1DB88DADDACE32?idPregunta=948

 

¿Se puede exponer en el tablón de anuncios de la comunidad la relación de los vecinos morosos?

La Ley de Propiedad Horizontal, en su artículo  16.2 , prevé por otra parte que la convocatoria  de la Junta contenga la relación de vecinos morosos que estén privados del voto, siendo una buena práctica la notificación de  la convocatoria individual por correo, inclusión en cajetín, intranet con clave y contraseña, evitándose cualquier medio que pueda suponer el acceso por terceros ( Internet) .

               Existe la posibilidad de difundir la convocatoria y la lista de morosos en el “Tablón de Anuncios” de la Comunidad de Propietarios únicamente en el caso de que esté en un lugar sin acceso por terceros.

               El “tablón de anuncios” de la Comunidad habrá de ser cerrado con llave de la que debe ser depositario el Presidente y/o Administrador o persona designada al efecto, exclusivamente. No es legal,  desde la óptica  de protección de datos, exponer la lista de vecinos deudores a la vista de terceros.

             No obstante la difusión de la lista un vecino deudor podrá publicarse de forma accesible a terceros unicamente en el supuesto recogido en el  artículo 9 de la LPH, apartado h) párrafo segundo, “ Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto….”

              Para proceder de esta forma deberán poderse acreditar los intentos de notificación.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf;jsessionid=745D0872DB6098BA7E1DB88DADDACE32?idPregunta=756

¿Es legal incluir a un menor en un fichero de morosos?

El menor de 18 años y mayor de 14 puede constar en un fichero de morosos siempre y cuando se den las condiciones generales para la inclusión de sus datos personales, es decir: debe existir una obligación incumplida, para poder introducir la deuda en un fichero de información de solvencia deben cumplirse por parte del acreedor dos requisitos previos, que también están previstos en el Real Decreto 1720/2007, de 21 de diciembre, como son la existencia previa de la deuda cierta, vencida y exigible, así como haber requerido previamente el pago de la misma a quien corresponda en su caso el cumplimiento de la obligación (deudor).

A los efectos de la minoría de edad conviene recordar la distinción existente entre capacidad jurídica que. es la que posee toda persona por el hecho de serlo y, capacidad de obrar que es la idoneidad para realizar eficazmente actos jurídicos, o en otros términos, la capacidad para ejercitar derechos o asumir obligaciones, que puede ser plena o encontrarse limitada si el sujeto no puede realizar con plena eficacia actos o negocio jurídicos o algún tipo de ellos, encontrándose entre esas limitaciones de la capacidad de obrar la minoría de edad, de ahí que sean sus representantes legales los que actúen por él.

Ahora bien, el hecho de que una persona sea menor de edad no significa, por ejemplo, que no pueda tener bienes y que como titular de dichos bienes pueda incurrir en una serie de responsabilidades y generar deudas de las que responder.  (ver SAN 10-2-2010).

Aunque se sea menor de edad, si se es mayor de 14 años puede prestar su consentimiento sin necesidad de asistencia por lo que puede ser deudor e incurrir en la condición de moroso.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf;jsessionid=745D0872DB6098BA7E1DB88DADDACE32?idPregunta=747

¿Qué es el documento de seguridad y cuál debe ser su contenido?

El artículo 88 del Reglamento 1720/2007, de 21 de diciembre, por el que se desarrolla la LOPD, regula su contenido mínimo de los mismos, que será el siguiente:

1.      Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos

2.      Medidas, normas, procedimientos y estándares encaminados a garantizar el nivel de seguridad exigido

3.      Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros

4.      Estructura de los ficheros con datos personales y descripción de los sistemas de información que los tratan

5.      Procedimientos de notificación, gestión y respuesta ante las incidencias

6.      Procedimientos de realización de copias de respaldo y recuperación de los datos en los ficheros o tratamientos automatizados

7.      Las medidas para el transporte de soportes o documentos y su destrucción o reutilización

Igualmente en dicho documento (artículo 89) deberán constar las funciones y obligaciones de las personas con acceso a los datos de carácter personal y a los sistemas de información que estarán claramente definidas y documentadas, debiendo adoptar el responsable del fichero las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Dentro del apartado denominado ámbito de aplicación deben delimitarse el fichero o los ficheros a los que es de aplicación dicho documento: si a uno o a varios ficheros.

Respecto al documento de seguridad no es necesario presentarlo ante la Agencia. Solamente, en caso de que le sea requerido por la misma. Se trata de un documento interno de la organización y dinámico, es decir, que debe reflejar con veracidad la situación real de los ficheros y de los sistemas de información de la empresa en cada momento.

Puede acceder a un modelo a través del apartado ENLACES ASOCIADOS:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/modelo_doc_seguridad.doc

Fuente: AGPD


¿Cuál es el alcance de la obligación de anotar las salidas de soportes mediante correo electrónico?

El envío de ficheros con datos de carácter personal mediante correo electrónico o fax conlleva ciertos riesgos específicos que deberán ser analizados por el responsable del fichero y, en su caso, por el encargado del tratamiento para establecer las medidas técnicas y organizativas que deben implantarse para controlar los riesgos inherentes a la utilización del dichos medios, en función de los tipos de datos que vayan ser objeto de transmisión

Por lo que respecta concretamente al sistema de registro, en el caso de que se remitan datos de carácter personal incluidos en un anexo a un correo electrónico, el propio gestor del correo electrónico puede servir como registro.

Esta obligación de anotar las salidas afecta a cualquier otro procedimiento electrónico como el protocolo FTP, descargas desde Internet, carpetas compartidas, así como al envío de fax cuando incorporan datos de carácter personal de un fichero o tratamiento.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf?idPregunta=1081

 

Sanción de la AEPD a CANAL+ de 40.001€ por incluir erróneamente el DNI de un cliente en el ASNEF

La AEPD ha sancionado a DTS DISTRIBUIDORA DE TELEVISION DIGITAL, S.A. (Canal +) por incluir el DNI del denunciante con el de un cliente con el que la citada entidad mantenía una deuda de 55,90€, incluyendo dicho dato en el ASNEF (registro de morosos e insolventes), a pesar de haber sido advertido no le han excluido de dicho fichero ni han procedido al envío de escrito de rectificación.

Según consta en el procedimiento sancionador PS/00522/2011, quedan probados los siguientes hechos  mas relevantes:

1.- Que el denunciante manifiesta que DTS ha asignado su número de DNI (Documento Nacional de Identidad) a un cliente de la entidad que mantiene una deuda con la misma. Como consecuencia, es el denunciante quién aparece en al fichero ASNEF y no el verdadero deudor.

2.- El denunciante solicitó a DTS la rectificación, que queda en espera de resolución por la entidad y no se produce la rectificación.

3.- Que en el registro creado por motivo de la deuda, en ASNEF aparece el DNI del denunciante. Aunque el registro de deuda fue cancelado, exponiendo el motivo como “amistoso”.

4.- DTS no tenía facturas pendientes ni reclamadas al denunciante.

Por tanto, ante estos hechos la AEPD recuerda en el procedimiento lo siguiente:

La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, dispone en su artículo 4, bajo la rúbrica “calidad de los datos”:
“3. Los datos de carácter personal serán exactos y puestos al día de forma que responsan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaren ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16”.

Por otra parte, el artículo 29 de la citada Ley Orgánica establece en sus apartados 2 y 4, respectivamente:

“Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el creedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley”.

Por su parte, el Real Decreto 1720/2007, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal, (en lo sucesivo RLOPD), dispone en el artículo 38:
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada (….)

Se imputa a DTS en el presente expediente sancionador la vulneración del principio de exactitud y veracidad en relación con los datos personales que han sido informados por ella a un fichero de solvencia patrimonial y crédito, (artículo 4.3 en relación con el 29.4 de la LOPD).

Los hechos probados acreditan que DTS comunicó a ASNEF el DNI del denunciante, vinculado al nombre y apellidos de otra persona, que era el verdadero deudor de la entidad.

Resulta necesario advertir que el denunciante, cuyo número de DNI fue asociado por DTS al nombre, apellidos y domicilio de otra persona, su verdadero deudor, e informado al fichero ASNEF, no mantenía deuda alguna con la entidad informante.

Es evidente que en el presente caso DTS no ajustó su conducta a las exigencias impuestas en el precepto mencionado; condición esencial a la que la LOPD (artículo 44.3.c,) supedita la legalidad de la inclusión de los datos personales en ficheros de morosidad; toda vez que el dato relativo al DNI comunicado a ASNEF era titularidad del denunciante, quien no tenía la condición de deudor, de forma que, respecto a él, la deuda informada al fichero no era cierta, ni vencida, ni exigible.

De este modo el afectado, quien no era deudor de DTS, fue fichado como moroso erróneamente, permaneciendo incluido en el fichero ASNEF sin justificación para ello durante más de seis meses. La conducta que es contraria al principio de calidad del dato consagrado en el artículo 4.3 de la LOPD en relación con el 29.4. de la misma norma.

En esa misma línea debe destacarse la diligencia demostrada por el afectado, que con gran rapidez puso en conocimiento de la entidad los hechos acaecidos a fin de que ésta procediera a rectificar el dato inexacto y, paralelamente la lentitud de DTS en adoptar las medidas pertinentes.

Tampoco se aprecia en el asunto que nos ocupa, -no obstante la pretensión de la denunciada en tal sentido recogida en su escrito de alegaciones al acuerdo de inicio-, una actuación diligente que se haya traducido en una regularización, en un tiempo prudencial, de la situación creada.

Por ello, la AEPD ha impuesto a DTS por infracción del artículo 4.3, en relación con el artículo 29.4 de la LOPD, tipificada como grave, con una multa de 40.001€.

Fuente: AGPD.

* Cursivas: literal del procedimiento.

 

Estadística del blog

  • 110,257 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: