//
Archivos

Archivos para

Un usuario británico logra ser indemnizado por haber sufrido ‘spam’ telefónico

La empresa acordó pagarle unos 240 euros por su tiempo y el uso de la electricidad, y unos 30 euros más por los costes judiciales.

 

Un ciudadano británico ha logrado ser indemnizado tras presentar una demanda antre un tribunal por haber sufrido spam telefónico.

Según publica la BBCRichard Herman, de Middlesex (Inglaterra), se sentía acosado por las llamadas y mensajes de texto de compañías que proponían ayudarlo a reclamar una indemnización por accidente o exigir la devolución de un seguro (conocido como PPI) que le habían vendido de manera irregular.

Sin embargo, este usuario no sólo no había sufrido ningún accidente, sino que tampoco había adquirido este tipo de seguros. Por ende, estaba registrado en un servicio que debía impedir la entrada de llamadas de ventas no deseadas.

Tras acudir a los tribunales, su caso fue resuelto antes de llegar a juicio. AAC, la empresa que había llamado a Herman en nombre de PPI Claimline, le pagó 312 dólares americanos (unos 240 euros) por su tiempo y el uso de la electricidad, y 40 dólares más (unos 30 euros) por los costes judiciales.

A pesar de que la compañía aseguraba no haber registrado el número de teléfono de Herman en su base de datos, éste había grabado las llamadas telefónicas y se decidió acudir a un tribunal británico.

Según la empresa, Herman visitó una web que requería del marcado o desmarcado de una casilla que otorga el visto bueno a ser contactado por otras compañías, pero el indemnizado insiste en que no lo hizo.

Fuente: Facua

Anuncios

Protección de datos sanciona a una comunidad de vecinos por exponer datos de un inquilino en el tablón de anuncios de la comunidad

La AEPD ha impuesto una sanción por vulnerar el deber de secreto a una comunidad de vecinos que publicó los datos personales de una inquilina como deuda de las cuotas de comunidad en el tablón de anuncios a la entrada de la urbanización.

Según consta en el procedimiento sancionador se presentó la denuncia por una inquilina por una infracción de la normativa de protección de datos por parte de la Comunidad de Propietarios en la que la misma reside a titulo de arrendataria. Denuncia que la citada Comunidad expuso en un tablón cerrado con llave, durante el mes de mayo de 2011, situado sobre un muro en el acceso y entrada a la urbanización donde se encuentra ubicada la vivienda, una relación de impagados, entra las que figura su nombre y apellidos asociados a una deuda de la vivienda letra I, sin ser la propietaria de la vivienda.

El procedimiento deja constancia de los siguientes hechos probados:

1.- La existencia de dos notas de MOROSIDAD en el tablón de anuncios de la comunidad.

2.- En la nota interna que se ha hecho entrega a todos y cada uno de los propietarios, se incluye la deuda de la vivienda afectada y se asocia dicha deuda a la inquilina, apareciendo su nombre y apellidos.

3.- La inquilina presenta el correspondiente contrato de arrendamiento de la finca.

El artículo 10 de la LOPD, establece que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.

Dado el contenido del citado artículo 10 de la LOPD, ha de entenderse que el mismo tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su Sentencia n. 361, de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.

El deber de secreto profesional que incumbe a los responsables de los ficheros y a quienes intervienen en cualquier fase del tratamiento, recogido en el artículo 10 de la LOPD, comporta que el responsable de los datos almacenados o tratados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la protección de datos a que se refiere la citada Sentencia del Tribunal Constitucional 292/2000, y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.

En el presente supuesto, la Comunidad es la responsable de los ficheros que albergan los datos de los propietarios, en este caso también de algunos inquilinos obligados al abono de gastos a la Comunidad según consta en los contratos aportados. Respecto a que al no ser propietaria de la vivienda su dato se vio expuesto en el tablón de la comunidad, se debe indicar que en el contrato que la denunciante firmó se
desprende que es ella la que debe satisfacer las cuotas comunitarias, y en el tablón no se la identificaba como propietaria sino como inquilina, lo que no quiere decir que no esté sujeta a las potestades que la Comunidad ostenta para liquidar los gastos adeudados a la misma.

Los datos recabados por la propia Comunidad de Propietarios no necesitarán el consentimiento de los copropietarios y en este caso inquilino-denunciante para llevar a cabo su labor principal, ya que existe una relación copropietarios/Comunidad, en base a que esta ha de asegurar el cumplimiento de las obligaciones legales, debiendo asumir todas y cada una de las obligaciones reflejadas, bien por los estatutos de la propia Comunidad, bien por Ley.

No obstante, la posibilidad de tratar estos datos, ha de llevarse a cabo bajo el principio del secreto de los mismos, de modo que se convierte en obligatoria la observancia de lo dispuesto en el artículo 10 de la LOPD.

No existe en el presente caso causa que justifique la exposición en tablón de anuncios de los datos como deudor de la denunciante, con independencia de que su condición estatutaria a nivel de Comunidad sea la de inquilina, pues la que actuó fue la Comunidad, exigiendo el abono de las cuotas a las que parece ser la misma se obligó con la arrendataria. En tal sentido que parece ser era conocido por la Comunidad es indiferente en este caso que no fuera propietaria, pues carecía en el caso examinado de apoyo legal para exponer sus datos que pudieron ser conocidos por los terceros que transitaran por dicho espacio, fuesen amigos, parientes, vecino u otros inquilinos.

En el presente caso, con la no observancia del sentido del artículo 10 de la LOPD a la vista de la Ley de Propiedad Horizontal, al exponer el listado de deudores al público, no solo a los propietarios, sino a terceros que pudieran transitar por dicha zona, se acredita que la Comunidad ha infringido la normativa de Protección de Datos. La Ley no habilita esta comunicación, por no cumplirse los requisitos establecidos en la LPH, ni constar la
prestación de consentimiento por parte del denunciante. Ello supone incurrir en la conducta tipificada como grave en el artículo 44.3.d) de la LOPD que determina como tal:” La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.

Por ello, se ha impuesto a esta COMUNIDAD DE VECINOS una sanción por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.000€.

 

Cuando alguien se hace pasar por ti en Internet

Imagen_post_suplantacion_famosos¿Qué tienen en común el grupo La Oreja de Van Gogh, el futbolista Daniel Alves o el ministro Cristóbal Montoro? Todos ellos han visto cómo en los últimos tiempos alguien se hacía pasar por ellos en sus perfiles de redes sociales, publicando comentarios en su nombre y acarreándoles un perjuicio en la imagen pública que proyectan a través de Internet. Tommasso Debenedetti, famoso suplantador y autor de la suplantación del ministro, ha argumentado que con sus acciones pretende “demostrar los errores en las redes sociales”.

En realidad, estos personajes han sido víctimas de lo que se conoce como suplantación de identidad, un riesgo en Internet que no sólo afecta a famosos, sino también a ciudadanos comunes, e incluso a empresas reconocidas.

La suplantación puede manifestarse de formas distintas. Así, en primer lugar, puede consistir en el registro de un perfil falso, pero sin llegar a utilizar información personal de la persona suplantada. Por ejemplo, perfiles caricaturizados de personajes públicos (políticos, futbolistas, etc.), que juegan con la confusión al utilizar nombres de usuarios muy similares al oficial, e incluso imágenes de perfil de la persona suplantada.

En segundo lugar, el suplantador puede crear un perfil falso, utilizando datos personales de la víctima. Por ejemplo, Debenedetti creó el perfil falso de Umberto Eco, llegando a publicar informaciones falsas, como la supuesta muerte de Gabriel García Márquez.

Por último, la tercera situación consistiría en el acceso no autorizado al perfil de la víctima en un servicio de Internet para hacerse pasar por él. En este caso, se parte de un perfil creado legítimamente por una persona, al cual un tercero malintencionado accede, por ejemplo, mediante el hackeo o el robo de contraseñas de acceso, como ocurrió en el caso del futbolista mencionado. Una vez el suplantador se hace con estas credenciales, se apodera del perfil y comienza a actuar en nombre del dueño legítimo. Si las contraseñas son débiles y fácilmente deducibles, se estará facilitando la labor al suplantador.

En cada una de las situaciones descritas como suplantación, será necesario estudiar la vulneración de los derechos del individuo: al honor y propia imagen, así como a la protección de datos personales (en este caso, sólo afecta a los dos últimos supuestos, puesto que en el primero no se produce esta divulgación). Desde el punto de vista legal, esta conducta no está tipificada en el Código Penal (CP), aunque se reconduce al delito de usurpación del estado civil de su artículo 401. Asimismo, los actos derivados de la suplantación pueden constituir distintos tipos de delito, como la estafa ordinaria (art. 248.1 CP), la estafa informática (art. 248.2 CP), los delitos contra la intimidad (art. 197 CP), o los delitos contra la propiedad intelectual e industrial y las falsedades documentales (arts. 270, 274 y 390 CP).

La finalidad más inmediata del atacante es alterar la identidad sin consentimiento para perjudicar la imagen y reputación online. Pero también existen otros objetivos, como el robo de información a través del perfil ocupado, como paso previo para cometer ataques de fraude online, envío de correo spam o incluso divulgación de información falsa o difamatoria.

El objetivo de robo de información es más claro en el caso de suplantación de empresas. Así, cada vez son más frecuentes los casos de phishing, en los que el atacante crea una página web falsa, envía mensajes de correo electrónico o comentarios en redes sociales en nombre de la empresa suplantada para engañar al receptor y que este le facilite datos personales, contraseñas, información bancaria, etc. Para dar mayor credibilidad, se utilizan tipografías, logos y nombres comerciales originales, así como direcciones de sitios web similares al oficial.

¿Qué podemos hacer si hemos sido víctimas de una suplantación de identidad? Tenemos varias vías de actuación. Lo primero será ponernos en contacto administrador de la red social a través de los canales internos de denuncia que facilitan los proveedores de estos servicios de Internet. Esto suele ser suficiente.

En caso de persistir la situación o cuando se haya cometido algún delito como consecuencia de la suplantación de la identidad, el individuo puede acudir a la Policía Nacional y Guardia Civil para interponer la correspondiente denuncia. En ella, deben reflejarse los hechos propios de la suplantación de identidad, así como los –más que habituales– otros posibles delitos derivados de las acciones llevadas a cabo por el suplantador, como son posibles delitos de amenazas, estafas, o semejantes. Se daría así inicio a la vía de investigación correspondiente para su posterior puesta a disposición judicial.

En todo caso, no debemos olvidarnos del famoso “más vale prevenir que curar”. Si queremos disfrutar de forma segura de las oportunidades que nos brindan las redes sociales, debemos tomar ciertas medidas. Por ello, recomendamos crear contraseñas de acceso robustas y actualizarlas cada cierto tiempo, configurar adecuadamente las opciones de privacidad de los perfiles y estar atentos y supervisar la información que sobre nosotros circula en Internet.

Como ayuda ante estos casos, la Oficina de Seguridad del Internauta (OSI) pone a disposición del público una línea de Atención al Internauta (901.111.121). En la web de INTECO y de OSI podéis encontrar consejos e información sobre este fenómeno y en nuestro Blog disponéis de varios artículos interesantes para profundizar en las implicaciones de privacidad y seguridad que tiene la suplantación de nuestra identidad digital.

Fuente: Inteco

¿Cuál es la madurez de los servicios Cloud?

Imagen_post_madurez_cloudPues si hacemos caso a CSA e ISACA habría que decir que se encuentran en su más tierna infancia. Efectivamente esta ha sido la conclusión del estudio que han realizado ambas organizaciones y en el que he tenido el placer de colaborar. Sobre la base de una encuesta en la que han participado 252 organizaciones de 48 países (principalmente en Norteamérica – 48% – y Europa – 23% – y usuarios de SaaS – 62%) se ha concluido que, considerando cuatro niveles de madurez (infancia, crecimiento, madurez y declive), los servicios de infraestructura y plataforma como servicio (IaaS y PaaS, respectivamente) se encuentran en la etapa inicial y los de software como servicio (SaaS) están entrando en la fase de crecimiento.

Y, aunque la conclusión es que el mercado piensa que los servicios en la nube están cumpliendo las expectativas estratégicas y de servicio y que los problemas serán superados, no es menos cierto que se identifican ciertas preocupaciones:

  • Que la computación en la nube sea considerada un aspecto técnico (una nueva versión del típico outsourcing) y que, como está pasando, sus riesgos sean analizados como riesgos tecnológicos más que como riesgos de negocio, puesto que este tratamiento limitará el potencial la nube.
  • Las dificultades existentes para especificar los riesgos técnicos y de negocio en los contratos.
  • La longevidad del proveedor
  • La comprensión de las responsabilidades del propietario de datos y del custodio
  • Los aspectos legales
  • El lock-in en los contratos
  • La disposición de estrategias de salida en caso de querer volver a un tratamiento in house o ir a otro proveedor
  • Las regulaciones gubernamentales porque sigan una evolución muy diferente al mercado
  • Y, en definitiva, que los usuarios necesitan confiar en los servicios por lo que los mecanismos de garantía y de transparencia deben mejorar

Frente a esto, los participantes en el estudio también han identificado los aspectos que están siendo adecuadamente contemplados por la computación en la nube:

  • La disponibilidad
  • La continuidad del negocio
  • La recuperación en caso de desastres
  • El rendimiento del servicio
  • Los cortes en el servicio
  • La resolución de problemas

Finalmente, destacar que los factores que inciden en la toma de decisiones son, por orden de importancia:

  1. Los facilitadores de negocio (principalmente, fiabilidad y disponibilidad)
  2. Las consideraciones financieras (especialmente, la reducción de costes)
  3. La reducción de la huella en el medio

Como se puede ver, un estudio que nos ayuda a entender la situación actual, que dibuja un futuro esperanzados para la computación en la nube y que nos ayuda a identificar los retos para los próximos años… veremos si somos capaces de superarlos…

Fuente: Inteco

10/10/2012, por Antonio Ramos García

Protección de datos sanciona RENFE por no instalar los carteles de zona videovigilada y captar imágenes de espacios públicos

Según se hace constar en el procedimiento sancionador, la Guardia Civil levantó varias actas en las que se ponían de manifiesto las posibles infracciones a la normativa de protección de datos en materia de videovigilancia observadas en las estaciones de la red de Cercanías de Olivares-Villanueva del Ariscal, Sanlúcar la Mayor y Benacazón, todas en Sevilla.

En dos de esas actas  se constata la inexistencia de carteles informativos de señalización de zona videovigilada, existiendo cámaras de seguridad.

 Entre los principales hechos probados, según el procedimiento sancionador, destacamos:

 1.- La existencia del registro del fichero de VIDEOVIGILANCIA.

2.- La instalación de un sistema de videovigilancia de las estaciones que es gestionado por RENFE OPERADORA, que es la entidad que gestiona de forma integral el servicio.

3.- La finalidad de la instalación del sistema es la seguridad de los bienes e instalaciones de cada estación y de los viajeros, evitar robos o vandalismo y proteger el patrimonio.

4.- De la información aportada se desprende que las cámaras exteriores situadas en las zonas de parking y dado que disponen de zoom y movimiento, pueden recoger imágenes de espacios públicos con acceso indiferenciado a personas y vehículos, permitiendo identificar matriculas de vehículos, personas que se bajen de dichos vehículos y personas que accedan a pie a las estaciones, con independencia de que dichos espacios sean o no titularidad de ADIF, gestionados en cuanto a cámaras por RENFE OPERADORA.

5.- Respecto de la información facilitada a terceros sobre la existencia de sistemas de videovigilancia, se han aportado fotos de espacios interiores de la estación, pasillos de una serie de carteles informativos ubicados en diferentes partes de las estaciones. El contenido de los carteles alude a la LOPD y se remite a RENFE-OPERADORA para el ejercicio de los derechos.

6.- RENFE OPERADORA tiene antecedentes de haber cometido infracciones anteriores en materia de protección de Datos.

7.- La denunciada no ha acreditado a lo largo del procedimiento la retirada del sistema de videovigilancia implantado en los parkings que captan espacio público.

 La cuestión a dilucidar se centra en las cámaras que captan imágenes de toda la extensión de los parkings.

Resultaría admisible un sistema que captara, como se ha expuesto, la parte mínima imprescindible para la seguridad del acceso o de la vigilancia de los muros o partes por las que se puede acceder a la estación, con la advertencia de información correspondiente.

Este no es el caso. Se trata de captación de imágenes de un lugar de libre acceso de propiedad de ADIF, gestionado por RENFE, responsable del fichero.

En el presente supuesto, las imágenes se captan identificando y haciendo identificables a las personas y vehículos en los espacios destinados a parkings y en los espacios destinados al acceso a la estación. Los vehículos que se aparcan son propiedad de particulares, el acceso es libre y no permanecen cerrados en ningún momento, sin que existan restricciones para su uso o para el tránsito a pie.

 Junto a ello, y a mayor abundamiento, hay tres elementos a resaltar:

a) Dichos aparcamientos no consta que sean vigilados físicamente por personal alguno de RENFE.

b) Con independencia de su titularidad RENFE no es responsable de la seguridad en el mismo (por ejemplo, las responsabilidades por robo o daños en vehículos que implican estacionar en dicho espacio no parece que puedan ser imputadas según la Ley 40/2002 de aparcamientos privados) ni sobre ella recae un deber concreto de custodia de los mismos, ya que es gratuito.

c) La ley 39/2003 del Sector Ferroviario al definir dominio público, no se refiere a los parkings aledaños a las estaciones y no se definen a los mismos como pertenecientes al dominio público (artículos 12 y 13).

Por tanto, se trata de un espacio público sobre el que la entidad no ostenta especiales deberes de protección, debiendo encargarse de la misma con carácter general las Fuerzas y Cuerpos de Seguridad del Estado.

En el supuesto presente, las videocámaras realizan tratamientos de datos de carácter personal excesivos captando imágenes de la vía pública y viandantes que circulen por los parkings.

La infracción del artículo 6.1 de la LOPD se tipifica originariamente como incluida en el artículo 44.3.b) de la LOPD. En tal sentido supone “Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.”

Teniendo en cuenta estos aspectos, que se han desarrollado a lo lardo del procedimiento sancionador PS/00166/2012, el Director de la AEPD ha resuelto: IMPONER a la entidad RENFE OPERADORA, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 40.001 €, de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

FUENTE: AGPD

La LOPD obliga a Tráfico a cancelar los antecedentes de multas a los tres años

MILES DE CONDUCTORES PODRÁN RECUPERAR SUS PUNTOS PERDIDOS GRACIAS A UN RECURSO DE LA AEA

La Dirección General de Tráfico ha aceptado los razonamientos jurídicos planteados por AUTOMOVILISTAS EUROPEOS ASOCIADOS (AEA) en defensa de uno de sus miembros y ha ordenado -en una reciente resolución firmada por su titular Dña. María Seguí Gómez- que conforme con lo establecido en la Ley de Seguridad Vial y la Ley de Protección de Datos se cancelen sus antecedentes desfavorables como conductor, recuperando con ello su saldo de puntos, “una vez transcurrido el plazo reglamentario desde su cumplimiento o prescripción”.

Es la primera vez -según informa la organización de defensa del conductor afectado, AUTOMOVILISTAS EUROPEOS ASOCIADOS (AEA)-, que la DGT dicta una resolución en este sentido y cambia radicalmente de criterio respecto del que venía manteniendo hasta ahora en relación a la cancelación de los antecedentes desfavorables de los conductores por la pérdida de puntos”.

Como se recordará, hace ahora un año AEA denunció la situación de miles de conductores a los que se les estaba privando injustamente de su derecho a conducir porque, en contra de lo establecido en la Ley de Seguridad Vial, Tráfico no había limpiado de sus registros los antecedentes desfavorables caducados, que seguían actuando negativamente en el cálculo del saldo de puntos.

Hasta ahora, la DGT venía manteniendo el criterio de que la pérdida de puntos no constituía una sanción y por tanto no le afectaba la cancelación de antecedentes prevista en el apartado 4 del Art. 93 de la LSV que indica: “Las anotaciones se cancelarán de oficio, a efectos de antecedentes, una vez transcurridos tres años desde su total cumplimiento o prescripción”.

Para la DGT la pérdida de puntos era “una mochilita”

Es más, para no dotar a la pérdida parcial de puntos de ninguna garantía jurídica y así poder mantener sin límite de tiempo en los registros unos antecedentes desfavorables de los conductores el anterior director general de Tráfico Pere Navarro la definió como “una mochilita que acompañaba a determinadas sanciones graves y muy graves”.

Para el Tribunal Supremo es una sanción

Sin embargo, el Tribunal Supremo -en respuesta al recurso planteado por AEA contra el permiso por puntos- aclaró la cuestión y en su sentencia del 4 de junio de 2009 reconoció sin ninguna duda la naturaleza sancionadora de la pérdida de puntos y, por tanto, la obligación de respetar las necesarias garantías jurídicas que rodean a cualquier sanción, entre ellas la obligación de cancelar de oficio, a efectos de antecedentes, la anotación de las sanciones y detracción de puntos en el Registro de Conductores e Infractores una vez transcurridos tres años desde su total cumplimiento o prescripción.

A causa de la “mochilita” veinte mil conductores fueron privados injustamente de su carnet

Según estimaciones de AEA, en los últimos tres años más de 200.000 multas con detracción de puntos debían haberse cancelado del registro de Conductores e Infractores, porque había transcurrido con exceso el plazo legalmente establecido para ello.

Y ese mantenimiento ilegal de antecedentes en los registros de Tráfico –señala el presidente de AEA, Mario Arnaldo- ha podido determinar que a unos 20.000 conductores se les haya privado injustamente de su carnet de conducir al haberles contabilizado sanciones que por Ley debían estar borradas”.

Por eso desde AEA celebramos el cambio de criterio de la Dirección General de Tráfico -continúa Arnaldo- y no sólo porque supone el restablecimiento de unos derechos individuales que venían siendo conculcados, sino porque la propia Administración se estaba colocando en un peligroso polvorín jurídico que estaba a punto de estallar y que estaba afectando también al trabajo desarrollado por la Fiscalía, ya que muchos procedimientos penales incoados por la comisión de presuntos delitos de seguridad vial se tenían que archivar por una deficiente tramitación administrativa en la declaración de la pérdida de vigencia del permiso de conducir”.

Los errores administrativos provocan el archivo de un importante número de delitos

En efecto, según se recoge en el último informe elaborado por el Fiscal de Sala Coordinador de Seguridad Vial durante los últimos cuatro años se han tramitado cerca de 160.000 procedimientos judiciales por el delito de conducción sin carnet, y se destaca que se ha producido “un porcentaje de archivos importante en el delito de conducir tras haber perdido la vigencia del permiso por pérdida total de puntos” por problemas en la notificación de las resoluciones declarando la pérdida del derecho a conducir a través de edictos.

Sin embargo –concluye Arnaldo- muchos de ellos se han tenido que archivar porque la DGT estaba manteniendo en sus registros antecedentes desfavorables de pérdida de puntos que por Ley debían estar cancelados”.

Cancelación de antecedentes

En efecto, el artículo 93 de la Ley de Seguridad Vial establece que las sanciones y la detracción de puntos deberán comunicarse para su anotación en el Registro de Conductores e Infractores de la DGT en el plazo de 15 días naturales siguientes a su firmeza en vía administrativa y se cancelarán de oficio, a efectos de antecedentes, una vez transcurridos tres años desde su total cumplimiento o prescripción.

¿Cómo sabemos si Tráfico ha cancelado correctamente los antecedentes desfavorables?

Para verificar que Tráfico ha cancelado correctamente los antecedentes desfavorables AEA recomienda pedir cuanto antes un informe detallado en la Jefatura provincial de Tráfico, o bien a través de internet si se dispone de firma digital, y comprobar que no existen anotadas sanciones anteriores al 15 de setiembre de 2009.

En caso de que conste alguna, solicite la inmediata cancelación, ya que en las notificaciones que manda la DGT para comunicar que se ha agotado el saldo de puntos y que se inicia el procedimiento para declarar la pérdida de vigencia del permiso de conducir no figura la fecha en que las sanciones graves o muy graves dieron lugar a la detracción de puntos, con lo que el ciudadano no puede saber si esa multa debe estar, o no, cancelada de acuerdo con la Ley.

Con el fin de facilitar la cancelación de antecedentes desfavorables en el Registro, AEA ha dispuesto un servicio de asesoramiento jurídico gratuito para socios en el Tlf. 91.559.49.40, con el fin de analizar cada caso concreto y solicitar la cancelación que proceda antes de que se inicie la declaración de pérdida de vigencia del carnet.

Los principales datos del Permiso por Puntos

Desde el 1 de julio de 2006 al 1 de julio de 2012, 4,9 millones de conductores (18,8%) han sido sancionados por cometer alguna infracción que detrae puntos. De ellos 1,4 millones han cometido dos o más. En total se han tramitado 7,2 millones de expedientes sancionadores que han supuesto la detracción de 22 millones de puntos.

La principal causa de pérdida de puntos ha sido el exceso de velocidad (46%), seguida por no utilizar el cinturón de seguridad (13%) y por conducir hablando por el telefóno móvil (9%). El alcohol ha estado presente en el 9% de los casos de detracción de puntos.

En cuanto a los cursos de recuperación del carnet o de puntos, a fecha del 1/7/2012 han asistido a alguno de ellos 234.326 conductores.

Respecto a los conductores que han perdido su derecho a conducir por haber perdido la totalidad de los puntos, Tráfico ha declarado la pérdida de vigencia de los permisos a 142.015 conductores, lo que representa el 0,5 % del censo de conductores. De ellos, 2.462 conductores lo han perdido en dos ocasiones.

FUENTE: http://www.aeaclub.com/0114_cancelacion/

¿Se puede colgar en el tablón de anuncios de un Instituto el listado de notas con nombres y apellidos del alumno?

La difusión de dichas notas de calificación a través de los tablones de anuncios de la Universidad, constituirá un tratamiento de datos de carácter personal de los alumnos autorizado por una norma con rango de ley formal, en virtud de la Ley Orgánica 4/2007 de Universidades, que en su disposición adicional vigésimo primera, en el punto 3, señala “no será preciso el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación”.

 En el caso de los colegios se debe seguir el régimen general, es decir, hacer públicos los nombres de personas físicas en tablones de anuncios accesibles a terceros – si no hay soporte normativo que lo avale – podría suponer una divulgación indebida no concordante con el deber de secreto  recomendándose la comunicación individual a cada alumno aunque, eso sí, las calificaciones de los restantes serían accesibles ejerciendo la condición de interesado.

Fuente: AGPD

Cloud Computing: Aspectos esenciales técnico-jurídicos del contrato de servicios

La LOPD establece en su art. 12.2 que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito. Por tanto, el contrato de prestación de servicios entre el responsable del tratamiento y su proveedor de servicios Cloud ha de incorporar las previsiones citadas.

 En este sentido, el encargado está obligado a seguir las instrucciones del responsable del fichero en el tratamiento de los datos. Una forma de que el cliente indique estas instrucciones puede ser la de adoptar decisiones sobre el tipo de nube con la que se le prestarán los servicios y sobre las modalidades de servicios que contrata.

 Para ello, deberá haber solicitado y obtenido previamente información suficiente sobre ambos aspectos, de modo que la extralimitación por parte del proveedor de Cloud en su calidad de encargado del tratamiento tendrá las consecuencias previstas en el art. 12.4 LOPD, en virtud de las cuales, el encargado del tratamiento pasa a asumir la condición de responsable del fichero.

 Es importante destacar que el responsable del tratamiento es responsable de seleccionar como encargado del tratamiento a alguien que cumpla los requisitos legalmente establecidos. Esta responsabilidad se extiende a la subcontratación de servicios. Así, cuando el encargado del tratamiento subcontrate alguna actividad propia del tratamiento de los ficheros, dicha subcontratación habrá de recogerse en el contrato de prestación de servicios entre el responsable y el encargado, siendo necesaria una autorización del primero en los casos de subcontratación sobrevenida no prevista en el contrato (art. 21 RLOPD).

 Una fórmula que puede utilizarse a tal efecto es que el cliente autorice los servicios susceptibles de subcontratación (p.ej. servicios de “hosting”) y tenga permanentemente a su disposición una relación actualizada de las entidades subcontratadas y de los países donde operan, (por ejemplo en una página web a la que tenga acceso o a través de otras alternativas que le permitan estar informado).

 Por otra parte, existen otros aspectos relevantes que van más allá de normativa de protección de datos de carácter personal y que conviene traer a colación. Son temas que encontrarán su mejor acomodo y resolución en el propio contrato de prestación de servicios entre el proveedor y el cliente.

 Por la novedad de este tipo de contratos, resulta conveniente tratarlos a continuación.

 En definitiva, para garantizar la seguridad jurídica del servicio Cloud contratado, el contrato de prestación de servicios suscrito entre el despacho y el proveedor ha de recoger, un conjunto mínimo de cláusulas, entre las que cabe destacar las siguientes:

  • Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos personales ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por el responsable del tratamiento (y cuente, en su caso, con el consentimiento del titular).
  • Cumplimiento de legislación de protección de datos de carácter personal. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de los ficheros de datos de carácter personal que el despacho decida trasladar “a la nube”, con todas las obligaciones propias de tal figura tal y como se recogen en la legislación española y europea. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la Unión Europea, ha de asumir las obligaciones que al encargado del tratamiento de los ficheros de datos de carácter personal impone la legislación española, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos.

 En particular, si la localización no se encuentra entre las aceptadas por la AEPD, es preciso recabar autorización de la misma, y es aconsejable incluir en el contrato de servicios las cláusulas tipo propuestas por la Unión Europea.

  • Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible al responsable del tratamiento que contrata sus servicios, y a quienes éste determine con los perfiles de acceso correspondientes. En caso de que el responsable del tratamiento trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles.
  • Integridad y conservación. El proveedor ha de disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.
  • Disponibilidad. El proveedor ha de garantizar una elevada disponibilidad del servicio, así  como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho.
  • Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información al despacho en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información.
  • Consecuencias previstas para el caso de incumplimiento del proveedor de servicios Cloud de las obligaciones anteriormente recogidas

 Fuente: AGPD

Cloud Computing: La seguridad y confidencialidad de los datos: el secreto profesional

Uno de los principios esenciales de la protección de datos es el de seguridad y un derecho irrenunciable de la profesión de abogado es el secreto profesional, la responsabilidad ética y jurídica de salvaguardar la información de los clientes. Este derecho-deber impone a los responsables de tratamientos una diligencia cualificada sobre la observancia por el proveedor de servicios de todas las garantías legales relativas a los requerimientos de seguridad exigidos en relación con los datos, documentos y actuaciones amparadas por el secreto profesional.

             El artículo 12.2 de la LOPD dispone que “en el contrato entre responsable y encargado se estipularán las medidas de seguridad que deberá implementar el encargado”

             En materia de seguridad y confidencialidad, y desde un punto de vista técnico, los aspectos esenciales a tener en cuenta durante la selección del proveedor de servicios Cloud son los siguientes:

 • Como cuestión previa, tanto el responsable que contrata como cliente estos servicios como el propio prestador de servicios han de actuar diligentemente solicitando y ofreciendo una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información. A tal efecto deberán intercambiar información sobre la naturaleza de los datos para establecer un nivel de seguridad apropiado.

• El proveedor de servicios Cloud ha de garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.

• El proveedor ha de establecer mecanismos seguros de autenticación para el acceso a la información por parte de los responsables del tratamiento así como por parte de los clientes, en los términos que el responsable determine. Estos mecanismos han de permitir la compartición e intercambio de información sin que por supuesto sea posible que personas no autorizadas accedan a información reservada o confidencial.

• El cifrado de los datos almacenados es una necesaria medida de seguridad. El proveedor ha de dar a conocer al responsable el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas. Asimismo, es fundamental acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre el responsable y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos al responsable o al nuevo proveedor designado por éste.

• Habida cuenta de que en numerosos casos los ficheros contendrán datos especialmente protegidos es necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.

• En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, deben contemplarse garantías alternativas que cumplan el mismo objetivo, tales como la intervención de un tercero independiente de acreditado prestigio que audite las medidas de seguridad implantadas.

• Que, en todo caso, si se producen incidencias de seguridad que afecten a los datos personales de los que es responsable el cliente del servicio de Cloud Computing, sean puestos en su conocimiento por el prestador del servicio junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes.

             Las medidas adoptadas deberán ajustarse a las previsiones contenidas en los artículos 79 y ss. del RLOPD, teniendo en cuenta que no todos los datos de carácter personal gozan del mismo nivel de protección, dado que existen datos especialmente protegidos, entre los que se encuentran por ejemplo los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas.

             Así se establecen tres niveles de seguridad (básico, medio y alto) que se asocian a tres categorías de datos en función del nivel de protección de los mismos. El encargado del tratamiento (el prestador del servicio Cloud) es quien debe implementar estas medidas, que le debe exigir el responsable del tratamiento mediante el oportuno contrato escrito.

Fuente: AGPD

Cloud Computing: Aplicación de la normativa sobre protección de datos

Con carácter previo es necesario resaltar que el cumplimento de la legislación de protección de datos es un aspecto esencial a la hora de contratar servicios Cloud por parte de un responsable del tratamiento.

Debe considerarse que las modalidades de computación y las modalidades de servicios condicionan la aplicación de los preceptos correspondientes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y de su Reglamento, aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD)1.

En cualquier caso, a los responsables del tratamiento que contraten servicios de Cloud Computing (art. 3.d) de la LOPD y art. 5.1.q) del RLOPD), les corresponde la decisión sobre la finalidad, el contenido y el uso del tratamiento, así como la decisión sobre optar por la computación en la nube y sobre su modalidad. Por su parte, el prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento (art. 3.g) de la LOPD y (art. 5.1.i) del RLOPD, pues en definitiva trata datos personales por cuenta del responsable.

En este marco, el contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros tiene una gran importancia.

En cualquier caso, la dinámica del Cloud Computing exige buscar soluciones que, siendo plenamente respetuosas con la LOPD y su Reglamento, permitan que los responsables del tratamiento puedan contratar tales servicios con garantías jurídicas y de seguridad en el tratamiento de los datos de carácter personal.

En este sentido, y sin perjuicio del cumplimiento de las previsiones que contiene la legislación, y en particular las relativas al respeto a los principios de protección de datos y a la garantía de los derechos de los afectados (derechos de acceso, rectificación, cancelación y oposición), los artículos 20 a 22 del Reglamento, referentes al encargado del tratamiento, pueden ofrecer soluciones adaptadas a esta nueva realidad.

Fuente: AGPD

Estadística del blog

  • 113,060 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: