//
Archivos

Archivos para

Recomendaciones básicas de seguridad sobre el uso de WhatsApp

Aprende a utilizar con seguridad el servicio de mensajería instantánea móvil WhatsApp.

Como ya sabrás, WhatsApp es un servicio de mensajería instantánea que puedes instalar en tu smartphone –Android, iPhone, Blackberry, etc.- que te permite, a través de una conexión a Internet (Wi-Fi o tarifa de datos del móvil), chatear en tiempo real con los contactos de tu teléfono móvil que también tengan instalada esta aplicación.

Entre las principales funcionalidades que incluye esta aplicación se encuentran:

  • envío de mensajes de texto con emoticonos
  • envío de imágenes, vídeos y audios
  • envío de posición geográfica a contactos
  • creación de grupos de chat con varios contactos

WhatsApp es una herramienta muy interesante y además, ¡está de moda! A día de hoy, más de 10 millones de usuarios en España la utilizan a diario. Pero este hecho, no debe hacerte olvidar que, debes tomar ciertas precauciones cuando utilizas esta aplicación de la misma forma que las tomas con los programas de mensajería instantánea en el ordenador o los chats.

Logo WhatsApp

A continuación, te proporcionamos algunos consejos que te pueden ayudar hacer un uso seguro y responsable de WhatsApp:

  • No envíes mensajes ofensivos a ningún contacto, se respetuoso y trata con educación a tus contactos. ¡Netiquétate!
  • No envíes a través de la aplicación información privada sobre ti: datos bancarios, número PIN del móvil o tus contraseñas de acceso a otros servicios/aplicaciones. No sabes lo que tus contactos podrían hacer con esa información…
  • Cuidad tu imagen, no envíes fotos ni vídeos tuyos en los que aparezcas en situaciones comprometidas (sexting). En el momento que envías una foto o vídeo a un contacto, pierdes su control para siempre pudiéndote esto ocasionar problemas en tu vida personal, profesional, etc.
  • Cuidado con las redes Wi-Fi que utilizas para enviar «whatssApp’s». Si no están debidamente protegidas o son redes Wi-Fi públicas, un delincuente o persona con malas intenciones podría capturar las conversaciones que intercambias con tus contactos.
  • Atento a los mensajes en cadena, bulos, que circulan a través de Whatsapp, no te creas cualquier mensaje que te envíe un contacto (aunque éste sea de confianza). Contrasta la información, antes de realizar cualquier acción, con otros contactos, páginas web de confianza, etc.
  • Antes de abrir un fichero que te han enviado, es recomendable analizarlo con un antivirus para comprobar que no contiene virus.
  • Elimina el historial de tus conversaciones para evitar que si alguien accede a tu dispositivo móvil, pueda leerlas y obtener información sobre ti que no deseas.

Para más información sobre WhatsApp, puedes consultar la sección de «Preguntas Frecuentes» de su sitio web.

Fuente: http://www.osi.es

Sigue leyendo

Consejos para proteger un iPhone

Logo iPhone

Es importante que protejáis vuestros teléfonos inteligentes (smartphones), ya que éstos tienen hoy en día funcionalidades similares a las de un ordenador.

Si os fijáis, con estos dispositivos podéis hacer actividades muy parecidas a las que realizáis con un ordenador y, y del mismo modo también debéis protegerlo para evitar, por ejemplo, que se infecte con un virus al navegar por Internet o accedan a vuestras fotos/vídeos/documentos almacenados en él en caso de robo o pérdida.

En una publicación anterior del blog ya explicamos cómo proteger un smartphone con sistema operativo Android, en esta ocasión, lo haremos para un iPhone.

  1. Configurar las opciones de bloqueo de pantalla para que cuando no se esté utilizando el dispositivo la pantalla se bloquee y también para que si se desea utilizar el móvil, sea necesario introducir un código numérico (código simple) o una contraseña. De esta forma, evitaréis que si perdéis el móvil, os lo roban, etc. nadie pueda utilizar el dispositivo (a no ser que conozcan vuestra clave de acceso).

    Proteger iPhone

    Para configurar estas opciones acceder a Ajustes > General > Bloqueo automático o Ajustes > General > Bloqueo con código.

  2. Actualizar el sistema operativo de vuestro dispositivo. En repetidas ocasiones, os hemos comentado la importancia de tener actualizado tanto el sistema operativo del ordenador como todos los programas instalados en él. Con el smartphone debéis hacer lo mismo, mantenerlo siempre actualizado para corregir posibles fallos de seguridad. Para saber si está actualizado o no, acceder al contenido «Cómo actualizar vuestro iPhone».

    Proteger iPhone

  3. Mantener actualizadas todas las aplicaciones instaladas en el iPhone. Las aplicaciones deben ser actualizadas para introducir nuevas funcionalidades y, muy importante, corregir los fallos de seguridad que se encuentran en ellas.

    Proteger iPhone

  4. No instalar aplicaciones en el iPhone que no sean del Apple Store. Con esta medida, lo que se pretende es que aplicaciones que no hayan sido validadas por el equipo técnico de Apple, sean instaladas en vuestros smartphones, ya que podrían contener algún tipo de código malicioso.
  5. Administra las aplicaciones instaladas. Si tenéis aplicaciones instaladas que no utilizáis, que consumen muchos recursos del dispositivo o que tienen demasiados permisos podéis eliminarlas de vuestro dispositivo.
  6. Configurar adecuadamente las conexiones inalámbricas para que sólo estén activadas cuando se vayan a utilizar.
    • Desde el menú Ajustes > Wi-Fi

      Proteger iPhone

    • Desde el menú Ajustes > General > Bluetooth

      Proteger iPhone

  7. Realizar copias de seguridad de los datos que almacena vuestro iPhone. Apple os da dos opciones para realizar esta tarea: utilizar iCloud o iTunes. Al activar iCloud se pueden hacer copias de seguridad, pero además, se mantiene una copia de diversos datos del teléfono – favoritos, notas, fotos, documentos y datos, etc.- que se actualizan en tiempo real.

    Proteger iPhone

  8. Activar la opción «Buscar mi iPhone», que permite localizar vuestro dispositivo en caso de pérdida o robo. Para configurar esta funcionalidad: Menú > Ajustes > iCloud > Buscar mi iPhone

    Proteger iPhone

    Si queréis localizar vuestro iPhone, sólo tenéis que acceder con vuestra cuenta de Apple al servicio iCloud y a continuación entrar en «Buscar mi iPhone». Os recordamos que hay que tener activa la opción «Buscar mi iPhone» en el teléfono para que funcione.

    Proteger iPhone

    Podréis localizar vuestro iPhone en un mapa, emitir un sonido o enviar un mensaje, bloquear el dispositivo de forma remota y borrar de forma remota los datos almacenados en él. Ésta última opción es la que recomendamos utilizar en caso de robo.

    Proteger iPhone

Para más información sobre las opciones de configuración de un iPhone, podéis consultar los siguientes enlaces:

¿Os han parecido útiles estas recomendaciones?, ¿qué otro consejo de seguridad sugerís? Compartid vuestra opinión con todos nosotros.

Fuente: http://www.osi.es

Sigue leyendo

Telefónica es sancionada con 30.000€ por usar sin consentimiento los datos de un cliente de Tenerife

Telefónica Móviles de España SA, en adelante TME, ha sido sancionada por la AEPD por infracción del artículo 6.1 de la LOPD y se le ha impuesto una multa de 30.000€.

Según consta en el procedimiento sancionador abierto por la AEPD, PS/00540/2011, Teléfonica usó sus datos personales para dar de alta una línea de teléfono sin su consentimiento, facturando al denunciado durante varios meses servicios y consumo que no había contratado.

El propio departamento de fraude de la compañía detectó el incidente ante la reclamación presentada por el denunciante, vecino de Santa Cruz de Tenerife, y procedió a la anulación de las facturas emitidas.

TELEFÓNICA MÓVILES ESPAÑA, no aporta documentación que permita comprobar la identificación del cliente que dio de alta la línea y firmó el contrato.

La firma del contrato aportado, no coincide con la firma de la copia del DNI, ni con la de la denuncia presentada ante la Agencia Española de Protección de Datos por el denunciante.

El contrato de la línea fue realizado por el distribuidor HELIO TENERIFE NORTE. S.L. con la que TME suscribió el 01/11/1999 un contrato de promoción comercial.

Se imputa a TELEFÓNICA MÓVILES ESPAÑA  el tratamiento sin consentimiento de los datos personales de la denunciante. El artículo 6 de la LOPD, determina:

 “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

El tratamiento de datos sin consentimiento constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo), “…consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)”.

Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y tratamiento de sus datos personales y a saber de los mismos.

En el presente caso el denunciante niega haber contratado con TME el servicio de la línea en consonancia con la actitud mantenida para con ésta y acreditada en el expediente, referente a la no solicitud del servicio:
– Denuncia ante esta Agencia.
– El denunciante niega la contratación.
– El denunciante manifiesta en fase de prueba del procedimiento que las firmas que figuran en el
contrato de la línea no son suyas.

Todas estas circunstancias son indicios que evidencia un tratamiento de datos sin el consentimiento de la denunciante. Conviene reseñar la virtualidad de la prueba indiciaria, cuya admisión en el procedimiento administrativo sancionador se admite en la Sentencia del Tribunal Constitucional núm. 45/1997 (Sala Primera), de 11 de marzo (RTC 1997,45). Así los requisitos necesarios para su admisión vienen desarrollados, con cita de la doctrina del Tribunal Supremo, por la Sentencia del TSJ de Andalucía, núm. 255/2003 de 27 de enero, que dice: “Sobre ella precisar que la jurisprudencia constitucional y la de la Sala 2ª del TS han perfilado los requisitos necesarios para que la prueba indiciaria pueda ser apreciada como tal y que pueden resumirse en los siguientes extremos:
1º- Que el hecho base no se único, pues uno solo podría inducir a error – STC núm. 111/1990 de 18 de junio (RTC1990, 111);
2º- Que estos hechos estén directamente acreditados – SSTS de 18 y24 de enero de 1991 ( RJ 1991,282)- ; y
3º Que la inferencia no quebrante las reglas de la lógica, de otra disciplina o de la experiencia general – STC 107/1989 de 8 de junio y 510/1989 de 10 de marzo ( RTC 1985,510) …………” Para que el tratamiento de los datos del denunciante por parte de TME resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada.

Sin embargo, según manifiesta el denunciante nunca formalizó contrato alguno con TME de la línea, ni consintió el tratamiento de sus datos personales. TME no ha presentado ninguna prueba que pueda evidenciar que contaba con el consentimiento del denunciante o relación contractual que le exima del mismo, ya que el contrato que se ha aportado tiene unas firmas que el denunciante no reconoce como propias.

Este contrato recoge explícitamente la documentación (contrato firmado, copia de DNI, y de documentos acreditativos de los datos de cobro) que el distribuidor debe recabar y remitir a TME en el proceso de formalización de los contrato de abono a los servicios. TME ha aportado a esta Agencia como prueba de la contratación efectuada copia de un contrato con los datos personales del denunciante, sin aportar copia del DNI y documentos acreditativos de los datos de cobro del denunciante a pesar de ser dicha entidad la que exige dichos documentos a los distribuidores en el proceso de alta de sus servicios. Corresponde por tanto a TME desplegar la diligencia debida para comprobar la autenticidad del contrato, es decir, que el consentimiento está obtenido válidamente, a través de la comprobación del cumplimiento de los requisitos de contratación por ella misma exigidos a los distribuidores y que en este caso no se ha producido.

En cuanto al contrato firmado aportado por TME debe reiterarse que los indicios probatorios obrantes en el expediente indican que no fue suscrito por el denunciante.

TME trató los datos personales del denunciante sin su consentimiento por lo que se ha vulnerado el principio del consentimiento previstos en el artículos 6 de la LOPD. La conculcación de este principio supone la comisión de la infracción grave prevista en el transcrito artículo 44.3.b).

Ello ha llevado a la AEPD a imponer a TME por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 30.000€ (treinta mil euros) de acuerdo a lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

Fuente: AGPD.

Sigue leyendo

La inclusión de datos personales erróneos en una base de datos de morosos constituye una intromisión ilegítima en el derecho al honor

El Tribunal Supremo ha estimado el recurso interpuesto por una valenciana contra una sentencia que estimó que no se había producido intromisión ilegítima en el derecho al honor de la actora, y que se habían conculcado al incluirse en una base de datos de morosos tras una suplantación de personalidad.

La Sala ha venido a recordar que otras ocasiones han tenido la ocasión de afirmar que la inclusión indebida de datos personales en un fichero de solvencia patrimonial constituye una intromisión en el honor de éstas, pues no en vano la publicación de la morosidad de una persona incide negativamente en su buen nombre, prestigio o reputación. Así, este tipo de registros suele incluir a personas valoradas socialmente en forma negativa o al menos con recelos y reparos, sobre todo cuando se trata de llevar a cabo relaciones contractuales con las mismas.

Sigue leyendo

Mutual Didat Cyclops ha sido sancionada por ceder datos de un exempleado sin consentimiento previo.

La entidad MUTUAL DIDAT CYCLPS (MMC) ha sido sancionada por al AEPD por infracción del artículo 11.1 de la LOPD, al ceder sus datos sin consentimiento, ascendiendo la sanción impuesta a 6.000€.

Según consta en el procedimiento sancionador PS/00539/2011 MMC cedió los datos personales del denunciante a la empresa Sanitas sin su autorización. El denunciante había cesado su relación laboral con MMC con anterioridad a la cesión de sus datos, en abril de 2010.

Al vencer la póliza de seguros que la mutua tenía contratada con ADESLAS, la mutua firmó una nueva póliza de seguro para sus empleados con Sanitas. Esta póliza cubría a los empleados y exempleados en condiciones preferentes con respecto a los clientes individuales.

Según las alegaciones de MMC, se les envió a todos los beneficiarios un escrito  informando de las condiciones de la póliza en las que se le solicitaba autorización para proceder al traspaso de datos. Esta autorización se consideró otorgada tácitamente al no recibir oposición por parte del denunciante. Se aportó copia del escrito aunque no se aportó prueba de su envío y/o recepción.

MMC reconoce el error de comunicar en el listado de personas adjuntos a la póliza, los datos de este extrabajador, contactando con Sanitas para que se procediera a la devolución de cualquier importe que se le hubiera cobrado.

Ante estos hechos, la AEPD inició procedimiento sancionador contra MMC por presunta infracción del artículo 11.1 de la LOPD. “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.”

Entre los hechos probados, queda constancia de la ausencia de consentimiento por parte del denunciante para el tratamiento y cesión de sus datos por parte de MMC.

En el presente caso se ha acreditado que MMC comunicó los datos personales del denunciante, exempleado de la entidad, incluyendo nombre, apellidos, DNI, fecha de nacimiento, sexo, domicilio y cuenta corriente, a un tercero, la entidad SANITAS. Para que dicha cesión se adapte a lo previsto en la normativa de protección de datos es preciso contar con el consentimiento del afectado o, en su defecto, debe acreditarse que concurre alguno de los supuestos contemplados en el artículo 11.2 y que eximen al responsable del fichero del requisito del consentimiento. 

Sin embargo en este caso, MMC cedió los datos de su exempleado sin haber obtenido su consentimiento previo, por lo que debe entenderse vulnerado el artículo 11 de la LOPD.

Por esta razón, se impuso a Mutual Didat Cyclops (MMC), por una infracción del artículo 11.1 de la LOPD, tipificada como grave por el artículo 44.3.k) de dicha norma, una multa de 6.000€.

De este procedimiento merece la pena destacar un hecho relevante, MMC afirma que envió un escrito solicitando la autorización, pero, aunque presentó copia de la carta, no pudo acreditar ni el envío ni la entrega. Aunque MMC invoca el consentimiento tácito para la comunicación de los datos personales a un tercero hay que tener en cuenta que la definición que hace de CONSENTIMIENTO el artículo 3.h de la LOPD dice que este es “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de los datos personales que le concierne”.

El adjetivo “inequívoco” que califica al consentimiento, significa según el Diccionario de la Real Academia Española “que no admite duda o equivocación” y, por contraposición a equívoco, lo que no puede entenderse o interpretarse en varios sentidos, o que no puede dar ocasión a juicios diversos.

La exigencia de que sea inequívoco está relacionada con la forma de prestar el consentimiento, pues el precepto comentado no establece ni requiere que tenga que prestarse de forma determinada, ni de forma expresa o por escrito.

En la SAN, Sec. 1ª, 20-9-06 (Rec. 626/2004), respecto al consentimiento tácito, se dice «en nuestra sentencia de 7 de julio de 2000 (recurso número 121/1999), decíamos en el Fundamento de Derecho Tercero: “Este tema del consentimiento tácito ha de ser tratado con una gran delicadeza cuando están en juego derechos constitucionales básicos 8 art. 18-4 C.E.) y a ello tiende toda la regulación legal
contenida en el articulado de la L.O. 5/92 y su explicación y filosofía recogida en la Exposición de Motivos. En la vida de relación es muy posible reconocer formas de tácita aceptación, pero siempre en aspectos no trascendentales o cuando se está operando sobre situaciones consolidadas y que están en la común consideración a modo de valores entendidos. No es el caso cuando lo que está en juego es la privacidad de las personas de ahí todas las cautelas normativas tendentes a proteger esa privacidad, sin que quepan interpretaciones de laxitud del art. 11-1 de la Ley a menos que el titular de la intimidad se haya situado voluntariamente en situación de abandono de la defensa de ese derecho, en cuyo caso sí podría hablarse de una forma de consentimiento tácito….”.

Fuente: AGPD

LinkedIn investiga la filtración de contraseñas de usuarios

Un total de 6,4 millones de contraseñas de usuarios de LinkedIn se han visto afectadas por esta filtración. Se trata de un acto de piratería informática que ha puesto al descubierto un porcentaje importante de contraseñas.

Recordamos que Linkedin es una las redes sociales mas usados en los entornos profesionales y que cuentan con casi 150 millones de usuarios a nivel mundial.

Como en toda incidencia grave que afecte a las contraseñas, la primera medida de seguridad es que todos los usuarios de esta red procedan al cambio de la contraseña de acceso.

Pueden leer esta noticia en:

http://www.elmundo.es/elmundo/2012/06/06/navegante/1338999251.html

 

Aplicación trasnacional del derecho de la UE en protección de datos

El portal http://www.legaltoday.com ha publicado un interesantísimo artículo sobre la aplicación trasnacional del derecho de la UE en protección de datos.

En el mismo, en paralelo a dos columnas, nos presentan la cara y la cruz de esta aplicación trasnacional. Su lectura es muy recomendable y las conclusiones presentadas son dignas de reflexión.

Puedes seguir la lectura en el siguiente enlace: http://www.legaltoday.com/opinion/la-cara-y-la-cruz/aplicacion-trasnacional-del-derecho-de-la-ue-en-proteccion-de-datos

Fuente: Legaltoday.com

Me reclaman una deuda y llaman a mis familiares y amigos. También al trabajo, ¿qué puedo hacer?

Todos los responsables de ficheros así como todas aquellas personas que intervienen en el tratamiento de datos de carácter personal están obligados al secreto profesional y por tanto, deben guardar secreto de toda aquella información que conocen por su relación con el responsable del fichero incluso después de finalizar su relación con el mismo. Por tanto, ninguna entidad puede divulgar sus datos personales a terceros sin su consentimiento.

Por otra parte, si usted mantiene una deuda con alguna entidad, ésta puede utilizar los datos personales que le facilitó con la firma del contrato que origina la deuda, para contactar con usted y así dar continuidad a la relación negocial establecida entre ambos en virtud del contrato firmado. En este caso, la entidad que le reclama la deuda intenta recuperarla y por tanto, es lícito que contacte con usted en los teléfonos y direcciones que le facilitó.

Respecto de las llamadas telefónicas a familiares, amigos y/o al trabajo, se trata de una práctica bastante denunciada ante la Agencia de Protección de Datos pero de difícil investigación ya que debe acreditarse, el contenido de las llamadas telefónicas, que sería la prueba indiciaria para iniciar actuaciones de investigación. Sin conocer el contenido de la información que se facilita a terceros durante la conversación no se puede dirimir si se produce o no una vulneración del deber de secreto.

Si la entidad dirige un escrito a terceros (familiares, amigos o al trabajo) informando que usted tiene una deuda y solicitando que se lo hagan saber a usted para que contacte con la citada entidad y saldar una deuda, estaríamos también ante una práctica contraria a la normativa de protección de datos.

Si usted dispone de pruebas suficientes que permitan acreditar que se ha producido una vulneración de deber de secreto, puede ponerlo en conocimiento de esta Agencia mediante escrito de denuncia exponiendo los hechos acaecidos y acompañando de la documentación acreditativa de los mismos.

Dicho escrito deberá contener:

a) Nombre y apellidos del interesado y, en su caso, de la persona que lo represente, así como la identificación del medio preferente o del lugar que se señale a efectos de notificaciones.

b) Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.

c) Lugar y fecha.

d) Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.

e) Órgano, centro o unidad administrativa a la que se dirige. (En su caso sería la Subdirección General de Inspección de Datos de esta Agencia, calle Jorge Juan, 6-28001-Madrid).

 Igualmente, las denuncias deberán expresar la identificación de los presuntos responsables y acompañar los documentos o cualquier otro tipo de prueba o indicio que permita corroborar los hechos denunciados.

 Al mismo tiempo debe señalarse que el deudor está obligado a mantener actualizados con la empresa acreedora los datos de contacto según lo previsto en el artículo 6.2 LOPD pudiendo aquella en caso contrario actualizar los mismos.

Fuente: AGPD

¿Qué condiciones debe reunir el consentimiento del interesado para el tratamiento de datos?

 Como regla general, la inclusión de datos de carácter personal en un fichero supondrá un tratamiento de datos de carácter personal, que requerirá, en principio, el consentimiento del afectado. En particular, la LOPD establece en su artículo 6 lo siguiente:

Artículo 6. Consentimiento del afectado.

  • El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
  • No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
  • El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
  • En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.”

En cuanto al consentimiento, el artículo 3,h) de la Ley Orgánica 15/1999 define como tal “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. De ello se desprende la necesaria concurrencia para que el consentimiento pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto.

                A juicio de esta Agencia la interpretación que ha de darse a estas cuatro notas características del consentimiento, siguiendo a tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa, será las siguientes:

  • Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.
  • Específico, es decir, referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la Ley Orgánica 15/1999.
  • Informado, es decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la Ley Orgánica impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.
  • Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.

De lo que se ha indicado se desprende que de las características del consentimiento no se infiere necesariamente su carácter expreso en todo caso, razón por la cual en aquellos supuestos en que el legislador ha pretendido que el consentimiento deba revestir ese carácter, lo ha indicado expresamente; así sucede en el caso de tratamiento de datos especialmente protegidos, indicando el artículo 7.2 la necesidad de consentimiento expreso y escrito para el tratamiento de los datos de ideología, religión, creencias y afiliación sindical, y el artículo 7.3 la necesidad de consentimiento expreso aunque no necesariamente escrito para el tratamiento de los datos relacionados con la salud, el origen racial y la vida sexual.

Por tanto, el consentimiento podrá ser tácito, en el tratamiento de datos que no sean especialmente protegidos (artículo 7.2 y 7.3 de la Ley Orgánica 15/1999) si bien para que ese consentimiento tácito pueda ser considerado inequívoco será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo, no existiendo al propio tiempo duda alguna de que el interesado ha tenido conocimiento de la existencia del tratamiento y de la existencia de ese plazo para evitar que se proceda al mismo.

El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.c) de la Ley Orgánica 15/1999.

Cesión de datos

En cuanto a la cesión de datos, si la misma comporta identificación de concretas personas físicas constituye una comunicación de datos de carácter personal, definida en el artículo 3, i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a persona distinta del interesado”.

El régimen de las cesiones de datos se contiene en el artículo 11 de la citada Ley Orgánica:

Artículo 11. Comunicación de datos.

  • Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  • El consentimiento exigido en el apartado anterior no será preciso:

o   Cuando la cesión está autorizada en una Ley.

o   Cuando se trate de datos recogidos de fuentes accesibles al público.

o   Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

o   Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

o   Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

o   Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

  • Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.
  • El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
  • Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
  • Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.”

A tenor del art. 44,4,b). de la Ley Orgánica se considera infracción muy grave la cesión de datos de carácter personal sin consentimiento del interesado, fuera de los casos en que estén permitidas.

Fuente: AGPD

¿Puedo realizar envios de propaganda electrónica a mis clientes?

 Desde el punto de vista de la normativa vigente, se deben identificar como Spam todas aquellas comunicaciones electrónicas del tipo que fueren (correo electrónico de Internet, mensajes cortos de telefonía móvil “SMS” ,etc) que el usuario recibe sin haber otorgado su consentimiento para ello, con las siguientes precisiones:

o        Una comunicación electrónica no constituirá infracción en el caso de existir una relación contractual previa, y siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los emplee para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

o        Toda comunicación electrónica recibida sin consentimiento ( y no existiendo una relación contractual previa ), independientemente de su carácter comercial o no, es Spam. Sin embargo,la LSSICEsolo regula comunicaciones electrónicas comerciales.

o        No obstante, cuando los destinatarios de las comunicaciones no comerciales son personas físicas, podría aplicarsela LOPD (tratamiento sin consentimiento).

o        Queda, por tanto, una situación de Spam no recogida por la legislación española ( tampoco por la directiva ) : cuando los destinatarios sean personas jurídicas y la comunicación electrónica no sea comercial. Existe numeroso Spam que no tiene carácter comercial, como aquel cuyo contenido son chistes, bromas, cadenas de favores y virus informáticos, por ejemplo, si bien en los casos constitutivos de delito existe la jurisdicción ordinaria.

             Se hace notar también que, en el caso en que los receptores de las comunicaciones comerciales sean personas jurídicas,la Agencia Españolade Protección de Datos ostenta las competencias sancionadoras, ya quela LSSICEno hace distinción entre persona jurídica/física para los receptores de las comunicaciones electrónicas.

            El envío de comunicaciones comerciales no deseadas por cualquier medio electrónico (e-mail. SMS, etc) es considerado Spam porla Leydela Sociedadde los Servicios de Información (LSSI) y podría ser objeto de sanción

Fuente: AGPD

Estadística del blog

  • 165.827 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: