//
Archivos

Archivos para

Sanción de 6.000€ a UGT por incumplir las medidas de seguridad y del deber de secreto al compartir un fichero con datos de afiliados a través de eMule

La FEDERACIÓN ESTATAL DE INDUSTRIAS AFINES DE LA UNIÓN GENERAL DE TRABAJADORES, fué denunciado ante la AEPD por el AYUNTAMIENTO DE OURENSE motivado por la entrada de un correo electrónico de la Policía Local de Ourense que manifiesta que ha encontrado y descargado un archivo de un usuario de Internet, en un entorno compartido en Emule, siendo el nombre del archivo “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”.

Se verifica dicho archivo y consta lo siguiente:

– Se verifica que se encuentra un fichero denominado “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”, el cual contiene una base de datos en formato de Microsoft Access.
– Se verifica que al abrir la base de datos se encuentra un formulario en cuyo encabezamiento figura el texto: “F.I.A.- U.G.T. BIERZO”, obteniéndose impresión de pantalla del mismo.
– Desde dicho formulario se selecciona el botón “Afiliado” verificando que se encuentran 1.295 registros y que entre los mismos se encuentra uno a nombre de D.D.D.D. en el que el campo “CARGO SINDICAL” toma el valor “ E.E.E.”, obteniéndose impresión de dicho registro.

– Desde dicho formulario se seleccionan también los botones “Lista Afiliados”, “Lista Bajas” obteniéndose impresión de pantalla en cada caso, verificando que en el primer caso el número de registros existentes es de 1.187 y en el segundo 1.594; desde el mismo formulario y desde el botón “Informes” se obtiene impresión del informe “Listado General de Afiliados”.

– Se verifica que la base de datos se compone de diferentes tablas entre las que se encuentran las denominadas “AFILIADO” y “EMPRESAS”, verificando que la primera se compone de 2.890 registros y obteniendo impresión de pantalla resultado de ordenar los registros por el campo “FECHA ACTUALIZACION” en la que se obtiene información como una de las últimas fechas el 25/10/06, de uno de los afiliados, por fallecimiento accidente. Se verifica que en la primera tabla se encuentra un registro a nombre de D. D.D.D., obteniéndose impresión del contenido íntegro del registro. Se obtiene también
impresión parcial del contenido de la tabla “EMPRESAS” verificando que se compone de 126 registros.

Según se pudo comprobar ese archivo“corresponde a una aplicación informática utilizada para la gestión del fichero denominado “BASE DE DATOS AFILIADOS BIERZO”, en el que se recogen los datos personales de los afiliados a FIA-UGT en la comarca del Bierzo”. Y que el usuario autorizado a acceder al mismo en el sindicato también podía hacer una copia en la que podía seguir trabajando en la misma.

Esa copia la instaló en un portátil en su domicilio con el resultado de que la misma fue compartida con otros usuarios a través del eMule, “aunque no está probado que el mismo lo hiciera conscientemente y con la intención de dar a conocer o difundir este archivo, ni que con ello pretendiera perjudicar a los afiliados o a la organización sindical FIA-UGT de la comarca del Bierzo…>>

Hay que tener presentes en este caso, de que además de los datos personales incluidos en el archivo, los mismos venían asociados a su condición de asociados al sindicato.

El artículo 7 de la LOPD regula como datos especialmente protegidos:
“1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado…”

El artículo 9 de la LOPD, dispone:
“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Para completar el sistema de protección en lo que a la seguridad afecta, el artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros “…que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Los artículos 23 al 26 del citado RD 994/1999 concretaba las medidas de seguridad de nivel alto, como el cifrado de los datos para la distribución de los soportes y su transmisión a través de redes de telecomunicaciones, el registro de accesos y la conservación de copias de respaldo y recuperación en lugar diferente en que se encuentren los equipos informáticos que tratan los datos.

FIA-UGT estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que FIA-UGT incumplió esta obligación.

Dado que ha existido vulneración del “principio de seguridad de los datos”, se considera que FIA-UGT ha incurrido en la infracción grave descrita.

Por tanto, el Director de la AEPD ha impuesto una sanción por infracción del artículo 9.1 de la LOPD, tipificada como grave, con una multa de 6.000€ (seis mil euros).

Sanción por incumplimiento de requerimiento de retirada de cámaras de videovigilancia ficticias.

El 17 de mayo el Director de la AEPD acordó APERCIBIR a un ciudadano con arreglo a lo dispuesto en el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, con relación a la denuncia por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de la citada Ley Orgánica por la instalación de una videocámara de seguridad que el denunciado afirmó ser ficticia.

En el mismo acuerdo el Director resolvió REQUERIR de acuerdo con lo establecido en el apartado 6 del artículo 45 de la Ley 15/1999 para que acreditase en el plazo de un mes el cumplimiento de lo previsto en el artículo 6.1 de la LOPD, debiendo aportando a esta Agencia justificación documental de que las cámaras instaladas no captan zonas comunes del inmueble. En caso de no atender este requerimiento, se le advirtió que se procedería a acordar la apertura de un procedimiento sancionador.

Pasado ese tiempo el Director de la AEPD abre un Expediente de Actuaciones Previas de investigación del cual se desprende que  no consta que se hayan adoptado las medidas correctoras solicitadas y no consta que se haya atendido el requerimiento efectuado.

El hecho constatado de la falta de atención al requerimiento del Director de esta Agencia Española de Protección de Datos al imputado en este procedimiento, establece la base de facto para fundamentar la imputación de la infracción del artículo 37.1.a).

El artículo 44.3.i) de la LOPD considera que es infracción grave “no atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.”

En el presente caso ha quedado acreditado que no se ha atendido el requerimiento efectuado en la resolución de apercibimiento notificada al denunciado.

Por tanto, ante la falta de atención al requerimiento el Director de la AEPD ha impuesto una sanción de 1.500€, por una infracción del artículo 37.1 de la LOPD, tipificada como grave en el artículo 44.3.i de dicha norma.

Hay que tener presente el criterio mantenido hasta la fecha por la AEPD sobre la instalación de cámaras de seguridad ficticias, o sobre carcasas de cámaras colocadas en el exterior de las fachadas de los edificios para dar la impresión de que existe un CCTV o sistema de circuito cerrado de televisión o sistema de videovigilancia. En todos ellos, la AEPD ha instado a la retirada de los mismos. Por tanto, recordamos que la instalación de estos “supuestos dispositivos de captación de imágenes” no están autorizados, no cuentan con amparo legal, a criterio de la AEPD.

Por otro lado, hay que tener en cuenta siempre que los procedimientos de apercibimiento conlleva siempre una resolución en la que es insta al denunciado a enmendar o corregir la situación que ha causado la denuncia y la apertura del procedimiento administrativo que ha concluido con un APERCIBIR. Por tanto, siempre habrá que corregir la situación objeto de denuncia. Ya que de lo contrario, cuando pase el plazo concedido de treinta días, se abrirá un Expediente de Actuaciones Previas de Investigación que podría dar lugar a la imposición de una multa.

Las Autoridades Europeas de Protección de Datos concluyen su investigación sobre la nueva política de privacidad de Google

Reclaman a Google que informe de una forma más clara a sus usuarios y le piden que ofrezca un mayor control sobre la combinación de datos entre sus numerosos servicios.

Solicitan a la empresa que modifique las herramientas que emplea para evitar una recogida excesiva de datos.

 (Madrid, 16 de octubre de 2012). Las Autoridades europeas de protección de datos han publicado sus conclusiones respecto de la nueva política de privacidad implementada por Google el pasado mes de marzo, tras meses de investigación liderada por la Autoridad francesa de protección de datos (CNIL).

Tras analizar las respuestas y la documentación proporcionada por Google, las Autoridades concluyen que Google no proporciona suficiente información a los usuarios sobre sus operaciones de tratamiento de datos. Asimismo, considera que Google no ofrece al usuario un control sobre el modo en que sus datos se combinan entre los diferentes servicios de Google.

Por ello, las Autoridades europeas requieren a Google que ofrezca una información más clara y completa sobre los datos que se recogen y las distintas finalidades de cada una de las múltiples operaciones de tratamiento de datos que lleva a cabo. En relación con la combinación de datos entre servicios, las autoridades emplazan a Google a que refuerce el consentimiento para las combinaciones que se basan en la autorización de los usuarios y a que ofrezca mejores posibilidades para que los usuarios puedan oponerse al tratamiento de sus datos en los casos en que las operaciones de tratamiento no precisan consentimiento.

Las Autoridades Europeas han remitido estas recomendaciones a Google para darle la oportunidad de mejorar su nueva política de privacidad, y esperan que Google tome medidas eficaces para cumplir rápidamente con estas recomendaciones.

Nueva política de privacidad

El pasado 24 de enero Google anunció que modificaría su política de privacidad y sus condiciones de uso para la mayoría de sus servicios a partir del 1 de marzo de 2012. Ante las numerosas dudas que estos cambios planteaban, el Grupo de Autoridades de Protección de Datos de la UE encomendó a la Autoridad francesa (CNIL) que dirigiera la investigación sobre esta nueva política de privacidad.

En este contexto, se enviaron dos cuestionarios sucesivos a Google. La empresa contestó a estos cuestionarios, pero varias de las respuestas resultaron incompletas o poco precisas. En concreto, Google no contestó suficientemente a cuestiones clave como la descripción de sus operaciones de tratamiento de datos personales o la lista detallada de las más de 60 políticas de privacidad específicas que se han sustituido por esta nueva política general.

Fuente: AGPD. Nota de prensa.

¿Tienes Android en tu teléfono móvil? ¡Cuida las aplicaciones que instalas, el 8% de ellas no protegen tus datos!

Son una gran mayoría los usuarios que usan smartphones o teléfonos inteligentes con acceso a datos. En España, el uso de estos terminales están muy extendido, siendo el país de la Unión Europea con mayor porcentaje de terminales inteligentes.

Uno de los sistemas más demandados por los usuarios de este tipo de terminales es Android, de hecho con la entrada en el mercado de este sistema se ha producido una evolución social interesante, el usuario pasó de definir su terminal por la marca, es decir “tengo un Nokia, o un LG, o un Sony, a decir “tengo Android”.

La popularidad de este sistema se debe, entre otras muchas razones, por la cantidad de recursos que el mercado pone al alcance de los usuarios. Estos recursos, aplicaciones de descarga, gratuitas en muchas ocasiones, o de bajo coste en otras, han echo de Android un sistema muy demandado y popular. Sin embargo, pocas veces nos hemos parado a pensar en la seguridad que nos aporta este sistema o sus aplicaciones. Y ya no solo con Android, sino también en general con todos los smartphones, tablet y dispositivos portátiles.

Me explico, cuando vamos a adquirir un automóvil, independientemente de nuestra capacidad económica de adquisición y de nuestros gustos personales (clásico, deportivos, juveniles, rancheras, todoterrenos, colores, etc., etc..), hay algunas características de los mismos que valoramos muy positivamente, y son, especialmente, las medidas de seguridad que estos aportan. Tanto es así que en nuestro lenguaje se han ido haciendo familiar expresiones como seguridad activa, seguridad pasiva, sistemas de frenos ABS, cinturón de seguridad, etc.. Valoramos mucho estos dispositivos y, hasta en ocasiones, estamos dispuestos a pagar un poco mas a cambio de una mayor seguridad personal y familiar que pueda aportarnos el vehículo. En este ejemplo citado se puede ver de forma clara que la seguridad la consideramos una inversión y no un gasto del que podamos prescindir.

¿Por qué no se extrapola esa lección a otros aspectos de nuestra vida? Por ejemplo, ¿por qué a la hora de bajarnos aplicaciones y darles uso, incorporando datos personales y sensibles, no nos aseguramos previamente que esas aplicaciones cuentan con las medidas de seguridad pertinentes e imprescindibles, antes de bajarlas e introducir en ellas esos datos sensibles?.

¿Por qué llamamos la atención sobre este punto?. Por una razón simple, a veces lo barato puede salirnos caro. Tenemos un botón de muestra de lo que queremos decir en una noticia que ha publicado PORTALTIC en la que nos avisa de que el 8% de las aplicaciones que instalamos en nuestros dispositivos Android no protegen nuestros datos.

Es posible que no nos impacte mucho el porcentaje, “solo un 8%” podrían decir algunos. Sí, un 8%, pero cuando consideramos que en ese 8% se encuentran algunas de las aplicaciones mas descargadas por los usuarios y de mayor uso, la cosa cambia exponencialmente. El estudio realizado por “investigadores de la Universidad Leibniz de Hanóver y del departamento de ciencias informáticas de la Universidad Philipps de Marburgo han realizado un test basado en 13.500 aplicaciones de Android, que ha confirmado la falta de seguridad”.

Cuando pensamos que algunas de esas aplicaciones populares que están dentro de ese 8% las usamos para incorporar datos tales como datos bancarios, correo, redes sociales y permisos de acceso a redes de comunicaciones.

Otro dato relevante de este informe, es que el 50% de los usuarios de estos dispositivos no saben o no han sabido establecer cuál es el estado de seguridad de su terminal.

Es evidente que estamos ante un serio problema de seguridad. Por tanto, tanto si somos usuarios de Android o no, pero somos usuarios de smartphones o estamos pensando en adquirir uno, la moraleja es: “asegúrate que tus datos personales estén seguros, mantén un buen nivel de seguridad de tu terminal y, antes de bajarte aplicaciones fabulosas de esas que nuestros amigos nos dicen que son una maravilla, ANTES… asegúrate que cuentan con herramientas de seguridad… y si tienes dudas, por sentido común, no las instales, no introduzcas tu información sensible en ellas.

Si queréis leer mas sobre esta noticia, podéis verla en el siguiente enlace:

http://www.laprovincia.es/vida-y-estilo/tecnologia/2012/10/22/8-aplicaciones-android-protege-datos/492206.html

Fuente: PORTALTIC/EP

Denuncian a dos celadores en Tenerife por un posible delito contra la intimidad al acceder de forma indebida a la historia clínica de la denunciante

Sorprendente la noticia de la que en el día de hoy se hace eco el diario digital Canariasahora, según este medio el tribunal de instrucción nº 2 de Santa Cruz de Tenerife ha imputado a dos celadores del Hospital Universitario Nuestra Señora de la Candelaria por un posible delito contra la intimidad.

Según consta en la denuncia, los imputados accedieron en numerosas ocasiones  a los datos clínicos de la querellante, quién solicitó una auditoría al centro hospitalario para poner comprobar estos hechos. El informe de la auditoría ha sido contundente, al poner negro sobre blanco, que los imputados tenían “pleno conocimiento de qué días debía acudir la víctima al centro médico, qué tratamiento se le suministraba, el historial de informes o el historial de radiología, sin que ninguno de los dos tuviera consentimiento por escrito para ello”, según reza en el propio diario digital.

La denuncia también salpica a los responsables del centro hospitalario, el Servicio Canario de Salud, como responsables subsidiarios, por lo que la gerente del centro ha tenido que prestar declaración. La gerente ha reconocido que no todos los trabajadores del centro pueden acceder a la historia clínica, y que en su caso, necesitaría el consentimiento expreso de los titulares de la misma, hecho que los denunciantes niegan haber realizado.

Para entender mejor el alcance de esta noticia y todo lo que ello pudiera implicar debemos tener presente algunos aspectos jurídicos de la historia clínica. Las cuestiones relativas al concepto de “historia clínica”, su régimen de acceso, propiedad, contenido, conservación, custodia, y el deber de secreto en relación con la misma, se encuentran recogidas, con carácter general, en la Ley 41/2002, de 14 noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

La “historia clínica” incorpora el conjunto de datos sanitarios referentes a una determinada persona física, agrupados en un único expediente con vocación de uniformidad. En dicho historial podrán contenerse desde el cuadro médico o la sintomatología con la que acude una persona a un centro sanitario, hasta los episodios asistenciales a los que ha sido sometido, pasando por el tratamiento y diagnóstico del paciente.

La definición legal de la “historia clínica” se infiere de lo dispuesto por el artículo 15 de la Ley 41/2002, de 14 de noviembre, entendiéndose como tal el conjunto de información relativa al estado de salud del paciente “que comprenderá al menos:

a) La documentación relativa a la hoja clínico-estadística.

b) La autorización de ingreso.

c) El informe de urgencia.

d) La anamnesis y la exploración física.

e) La evolución.

f) Las órdenes médicas.

g) La hoja de interconsulta.

h) Los informes de exploraciones complementarias.

i) El consentimiento informado.

j) El informe de anestesia.

k) El informe de quirófano o de registro del parto.

l) El informe de anatomía patológica.

m) La evolución y planificación de cuidados de enfermería.

n) La aplicación terapéutica de enfermería.

ñ) El gráfico de constantes.

o) El informe clínico de alta”.

Por otro lado, hay que tener presente que el acceso a la historia clínica está limitado y regulado por la citada ley, así como por la LOPD, Ley 15/1999 de 13 de diciembre sobre el derecho a la protección de datos personales. La LOPD establece que el nivel de seguridad de la historia clínica, al contener datos de salud, se establecerá como nivel alto de seguridad. Y entre las medidas de seguridad especiales que este tipo de fichero conlleva están los siguientes según establece el RD 1720/2007, de 21 de diciembre:

Para ficheros automatizados:

Artículo 103. Registro de accesos.
1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.
4. El período mínimo de conservación de los datos registrados será de dos años.
5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:
a) Que el responsable del fichero o del tratamiento sea una persona física.
b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.
La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad.

Para ficheros no automatizados:

Artículo 113. Acceso a la documentación.
1. El acceso a la documentación se limitará exclusivamente al personal autorizado.
2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.
3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

Y muy interesante es tener presente el informe jurídico emitido por la Agencia de Protección de Datos de la Comunidad de Madrid bajo el título: “¿Qué acceso tiene el personal auxiliar a las Historias Clínicas, en formato papel, a los efectos de la localización, traslado y entrega de dicha documentación clínica a los médicos?” accesible en el siguiente enlace:

http://www.madrid.org/cs/Satellite?blobcol=urldata&blobheader=application%2Fpdf&blobheadername1=Content-disposition&blobheadername2=cadena&blobheadervalue1=filename%3Dconsultas+web+colegios-+31.pdf&blobheadervalue2=language%3Des%26site%3DPortalAPDCM&blobkey=id&blobtable=MungoBlobs&blobwhere=1311006521309&ssbinary=true

Fuente: http://www.canariasahora.com/noticia/237911/

¿Qué se entiende por ficheros o tratamientos en los que de forma incidental o accesoria se contengan datos especialmente protegidos?

En relación con el nivel de medidas de seguridad aplicable, sería necesario atender al tenor literal del artículo 81.5 del RLOPD que establece que “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

  • Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
  • Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan
  • Aquellos datos sin guardar relación con su finalidad.”

 A este respecto, se debería tener en cuenta que la excepción prevista en el último inciso del artículo 81.5 se refiere a cuando los datos especialmente protegidos sean incluidos por el propio afectado a la hora al presentar documentación en la que por propia iniciativa desee aportar este tipo de datos, sin que su tratamiento tenga relación con la finalidad establecida por el responsable del fichero.

Fuente: AGPD

Adecuación a la LSSI – IV: comunicaciones comerciales

La LSSI regula el envío de «publicidad» por vía electrónica estableciendo una serie de obligaciones y derechos. Prohíbe el envío de publicidad salvo que el destinatario haya prestado su consentimiento y regula las ofertas promocionales engañosas.

INTRODUCCIÓN

La Ley de Servicios de la Sociedad de la Información, denominada LSSI, complementa a la Ley Orgánica de Protección de Datos, LOPD en lo relativo a las comunicaciones comerciales por vía electrónica.

La LOPD reconoce derechos al receptor y establece obligaciones al emisor si la comunicación es dirigida a personas físicas. La LSSI afecta tanto a comunicaciones dirigidas a personas físicas como jurídicas.

IDENTIFICADAS COMO «PUBLICIDAD»

Según el anexo de la LSSI, una comunicación comercial es «toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional».

Para protección del usuario la ley establece que estas comunicaciones deban identificarse al comienzo del mensaje como «publicidad», y prohíbe su envío por correo electrónico u otras vías de comunicación electrónica equivalentes, salvo que el destinatario haya dado su autorización.

CONSENTIMIENTO EXPRESO Y REVOCACIÓN

Es común que al contratar o suscribirnos un servicio el prestador solicite una dirección de correo electrónico. Si el prestador de este servicio pretende utilizar esta dirección para enviarnos publicidad debe recabar nuestro consentimiento.

Una vez hemos dado este consentimiento el proveedor debe poner a nuestra disposición procedimientos sencillos y gratuitos para que podamos revocarlo, en cualquier momento, si ya no quisiéramos recibir más publicidad.

OFERTAS PROMOCIONALES

Por otra parte la ley prohíbe las comunicaciones comerciales a través de las cuales se incite a los usuarios a participar en promociones (descuentos, premios, regalos, concursos o juegos) en las que:

  • no se identifique al anunciante
  • no quede claro el tipo de promoción o no se expresen de forma inequívoca las condiciones de participación
  • no se cumpla la normativa y legislación vigente en materia comercial y de publicidad

Fuente: INTECO

El Ayuntamiento de San Cristóbal de La Laguna deniega el derecho de acceso a una ciudadana a su historia clínica

La AEPD ha abierto un procedimiento de tutela de derecho ante el M.I. Ayuntamiento de San Cristóbal de La Laguna por la reclamación presentada por una ciudadana que había acudido a la Unidad de la Mujer de los Servicios Sociales del Ayuntamiento de San Cristóbal de la Laguna. La denunciante había solicitado “copia de la información clínica correspondiente a la asistencia psicológica de la que fue beneficiaria en el Centro Asesor de la Mujer (…)”, sin que su solicitud haya recibido la contestación legalmente establecida.

La AEPD trasladó al Ayuntamiento de La Laguna dicha reclamación, y éste argumentó que la no entrega de la copia de la información clínica, se debía a:

Manifiesta que los informes solicitados por la reclamante, entre abril de 2008 y diciembre de 2009, fueron generados por la asociación que en esas fechas gestionaba el servicio, obrando notas manuscritas de las distintas profesionales que la atendieron en ese momento pertenecientes a la mencionada asociación y que en su mayor parte son ininteligibles, sin que éstas puedan tener mayor consideración ya que no se encuentran debidamente suscritas.

El artículo 15 de la LOPD dispone que:

“1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.”

El artículo 27 del RLOPD regula el derecho de acceso en los siguientes términos:

1. El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se está realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

2. En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento. No obstante, cuando razones de especial complejidad lo justifiquen, el responsable del fichero podrá solicitar del afectado la especificación de los ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo efecto deberá facilitarle una realización una relación de todos ellos.
3. El derecho de acceso es independiente del que otorgan a los afectados las leyes especiales y en particular la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.”

El artículo 29 del RLOPD dispone lo siguiente en relación al plazo en que el responsable del fichero debe resolver la solicitud de acceso:
“1. El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición de acceso, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.

El derecho de acceso en relación con la historia clínica se regula específicamente en el artículo 18 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica , cuyo tenor literal expresa:

“1. El paciente tiene derecho de acceso, con las reservas señaladas en el apartado 3 de este artículo, a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella. Los centros sanitarios regularán el procedimiento que garantice la observancia de estos derechos.

Queda acreditado que la reclamante ejercitó su derecho de acceso ante la entidad demandada, y que, trascurrido el plazo establecido conforme a las normas antes señaladas, su solicitud no obtuvo la respuesta legalmente exigible.

Por tanto, ante estos hechos la AEPD ESTIMA la reclamación formulada por la denunciante e insta a AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la reclamante certificación en la que se facilite el acceso completo a sus datos, o deniegue motivada y fundamentadamente el acceso solicitado, pudiendo incurrir en su defecto en una de las infracciones previstas en el artículo 44 de la LOPD.

La AEPD apercibe a un bar de Santa Cruz de Tenerife por contar con un monitor de videovigilancia que muestra las imágenes captadas a terceros

El pasado mes de junio la AEPD ha procedido a apercibir a un establecimiento hostelero de Santa Cruz de Tenerife que contaba con un sistema de videovigilancia con 8 cámaras, 7 en su interior y otra mas en la entrada del local pero visionando parte de la vía pública. Además, en su interior, junto a la cabina de sonido del establecimiento, el local contaba con un monitor de visionado de los campos visuales captados por las ocho cámaras, estando las imágenes al alcance de los clientes del establecimiento.

La inspección de la AEPD requirió el informe de la situación del sistema de videovigilancia de este establecimiento, después que se recibiera denuncia de un ciudadano al comprobar que una cámara enfocaba hacia la vía pública, siendo él objeto de grabación sin su consentimiento. Dicho informe fué remitido por el Cuerpo Nacional de Policía, adcritos a la comisaría de La Laguna.

Entre los hechos probados mas relevantes, el procedimiento destaca los siguientes:

1.- El local cuenta con carteles de aviso de zona videovigilada.

2.- El preceptivo fichero estaba inscrito en el RGPD.

3.- El local dispone de un monitor donde se visualizan las imágenes de las cámaras y un sistema de almacenamiento de imágenes todo ello situado en la cabina del encargado de poner la música junto al mando que acciona el movimiento y el zoom de la cámara número dos.

Ante estos hechos, se imputó al titular del establecimiento hostelero, la comisión de dos infracciones de la normativa de protección de datos.

Por un lado, la comisión de infracción del artículo 6.1 de la LOPD, que dispone que:

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

En el caso que nos ocupa, tanto de la información facilitada por el Cuerpo Nacional de Policía en fase de actuaciones previas como de las alegaciones del denunciado aportadas a este expediente en trámite de audiencia previa, se deriva que hay un videocámara instalada en el puerta de acceso del local que visualiza la acera (vía pública) y la calzada anexa (tal y como se aprecia en la copia de la imagen captada por esta cámara y visualizada en el monitor), pudiendo captar a los transeúntes que allí se encuentren o por allí pasen. Así pues, se visualiza vía pública sin que conste en el expediente que el denunciado cuenta con el
consentimiento de las personas afectadas. Por esta razón, los hechos expuestos podrían suponer una infracción del artículo 6.1 de la LOPD anteriormente expuesto.

Así el artículo 4.3 de la Instrucción 1/2006 dispone:
“3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.”

El artículo 44.3.b) de la LOPD considera infracción grave:
“Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.

No consta que dicho responsable tenga legitimación para el tratamiento de las imágenes captadas en vía
pública, pudiendo realizar un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos. Tampoco consta que cuente con el consentimiento de los afectados cuyos datos personales se tratan por las cámaras instaladas, tal y como establece el artículo 6.1 de la LOPD.

No obstante durante la tramitación de este procedimiento, el denunciado ha aportado copia de la imagen que capta la cámara controvertida en el monitor donde se visualiza para acreditar la reorientación de la misma, de tal forma que ha limitado el enfoque de esta cámara que ahora capta el espacio imprescindible para poder realizar un control o vigilancia de la entrada y acceso al local.

En segundo lugar, se imputa al titular del establecimiento , la comisión de una infracción del artículo 4.1 de la LOPD.

La LOPD regula en su artículo 4 el principio de calidad de datos, que contiene a su vez el principio de proporcionalidad, aplicable al supuesto de hecho que nos ocupa, en lo relativo a la visualización de las imágenes captadas por las ocho cámaras instaladas, en un monitor situado en el cabina de música del establecimiento a la vista del responsable del fichero y de la persona que se ocupa de pinchar la música en el bar que tal y como manifiesta el denunciado, no siempre es la misma, es decir que las imágenes son visibles por un número de personas desconocido.

La LOPD garantiza el cumplimiento del principio de proporcionalidad en todo tratamiento de datos personales, cuando señala en su artículo 4 que:
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

El principio de proporcionalidad también aparece recogido en la Instrucción 1/2006, en su artículo 4, cuyo contenido establece que:

1. De conformidad con el artículo 4 de la Ley Orgánica de Protección de Datos de Carácter Personal, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras
o videocámaras.
2. Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.
3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.

El cumplimiento del principio de proporcionalidad, está íntimamente ligado a la finalidad perseguida con el establecimiento de un sistema de videovigilancia, que en todo caso deberá ser legítima y proporcionada.

En este sentido, hemos destacado que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones <<si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es
ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

En el caso que nos ocupa, del escrito de alegaciones del denunciado se deriva que reconoce los hechos, que las imágenes que captan las cámaras se visualizan en un monitor situado en la cabina de música, porque es el único lugar donde siempre hay algún empleado o el propietario de forma habitual, pudiendo por tanto, ser accesibles a todas las personas que lleven a cabo la función de pinchadiscos en el bar denunciado.

En este monitor se recogen las imágenes de las ocho cámaras instaladas en el establecimiento, la cantidad de datos personales que se tratan tanto por el responsable del fichero, como por toda persona que visualice este monitor supone un tratamiento desproporcionado, no pertinente y excesivo en relación con la finalidad de seguridad que se persigue. La situación descrita vulnera de forma directa el principio de proporcionalidad. Tal y como se ha indicado anteriormente, la imagen es un dato personal y el tratamiento de los datos personales exige, en principio el consentimiento de los afectados. La captación de imágenes de personas es un tratamiento de datos y por tanto está sometida a las exigencias de la normativa de protección de datos, entre ellas la proporcionalidad, la adecuación y pertinencia de los datos tratados para la finalidad que se recogen.

El artículo 44.3.c) de la LOPD tipifica como infracción grave:
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.”

En este supuesto ha quedado acreditado que el monitor donde se visualizan las imágenes captadas por las cámaras se encuentra situado en un lugar accesible a personas diferentes del denunciado, como es la cabina de música del establecimiento.

Ambos casos, la falta de consentimiento que exige el artículo 6.1, así como el incumplimiento del principio de proporcionalidad que exige el artículo 4 de la LOPD, son constitutivos de infracción grave.

¿Por qué no se sanciona dichas acciones y solo se apercibe?.

Con la reforma del Título VII de la LOPD, apareció en escena la figura del apercibimiento. La disposición final quincuagésima sexta de la Ley 2/2011 de 4 de marzo de EconomíaSostenible (BOE 5-3-2011) (LES), ha añadido un nuevo apartado 6 al artículo 45 de la LOPD en lugar del existente hasta su promulgación del siguiente tenor:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento”.

No obstante, en relación con la infracción del artículo 6.1 de la LOPD, debido a que el imputado ha cumplido con la obligación de reorientar la cámara controvertida para que la misma capte únicamente el espacio imprescindible de la vía pública situado en la entrada del local, no se insta por parte de esta Agencia la adopción de una concreta medida correctora en lo que se refiere a la infracción de este artículo.

En relación a la infracción del artículo 4.1 de la LOPD la AEPD insta que acredite en el plazo de un mes desde el acto de notificación:

 cumpla lo previsto en el artículo 4.1 de la LOPD, para lo que se abre expediente de actuaciones previas E/03908/2012, advirtiéndole que en caso contrario se procederá a acordar la apertura de un procedimiento sancionador.
En concreto se insta al denunciado a justificar: la retirada de la zona de la cabina de música, del monitor donde se visualizan las imágenes captadas por las cámaras instaladas en su establecimiento, para que las mismas no sean accesibles a un número indeterminado de personas (los encargados de poner la música en el local); o la limitación del número de las personas que pueden visualizar las imágenes en tiempo real, incluyendo en el documento de seguridad la identificación de las personas que pueden visualizar las imágenes captadas por las ocho cámaras instaladas en el establecimiento.

La UE da cuatro meses de plazo a Google para cambiar su política de privacidad

Entre las preocupaciones del regulador figura el modo en que la compañía estadounidense combina datos anónimos a partir del historial de búsqueda de los usuarios a través de sus servicios para dirigir mejor la publicidad. 

Google tiene cuatro meses para hacer que su política de privacidad cumpla con requerimientos de los organismos de protección de datos de la Unión Europea o enfrentará la posibilidad de una acción disciplinaria a nivel nacional.

La Commission Nationale de l’Informatique (CNIL) de Francia, que trabaja en nombre de los 27 reguladores de datos de la Unión Europea, ha anunciado este martes que había encontrado varios defectos legales en la nueva política sobre datos de usuarios adoptada por Google en marzo.

Entre las preocupaciones de CNIL figura el modo en que la compañía estadounidense combina datos anónimos a partir del historial de búsqueda de los usuarios a través de sus servicios para dirigir mejor la publicidad.

Eso ha llevado a que reguladores nacionales emitan 12 recomendaciones para Google para alinear su política de privacidad, incluyendo informar mejor a los usuarios sobre cómo se usarán sus datos y estableciendo períodos precisos para la retención de datos.

El consejero global de privacidad de Google, Peter Fleischer, asegura que la compañía examinará los resultados de la investigación y ha agregado que está confiado en que la política de privacidad de la empresa respeta la ley de la Unión Europea.

La presidente del CNIL, Isabelle Falque-Pierrotin, afirma que los reguladores están preparados para hablar con Google. “Si Google no actúa en conformidad en el tiempo permitido, entraremos en la fase disciplinaria”, ha agregado.

Google puede negociar con los reguladores y cambiar elementos de su política de privacidad o puede desafiar su autoridad para imponer cambios en la corte.

Los organismos para la protección de datos que examinaron la política de privacidad no pueden decidir sobre la legalidad de la postura de Google debido a que no son una corte de justicia.

Multas anteriores

Algunos reguladores nacionales de protección de datos, incluyendo a los de Bélgica, Francia y Holanda, han impuesto multas a empresas que han violado reglamentos en el pasado. Dichas sanciones no pueden ser impuestas en toda la Unión Europea.

Cuando se descubrió que Google había violado reglas de protección de datos después de que sus automóviles de Street View habían recogido datos no autorizados sobre redes públicas de Internet inalámbrica en el 2010, enfrentó docenas de casos separados.

En ese episodio, Google fue multado con 100.000 euros (129.000 dólares) por el organismo de protección de datos de Francia, mientras que Holanda amenazó con una multa de un millón de euros si la empresa no cambiaba su política.

La nueva postura de Google respecto a los datos, que consolidó 60 políticas de privacidad en una sola, permite compartir información recogida sobre usuarios individuales a través de sus servicios, incluyendo YouTube, Gmail y la red social Google+. Los usuarios no tienen la opción de no formar parte de ese esquema.

Jacob Kohnstamm, el jefe de protección de datos de Holanda y director del grupo de trabajo de los reguladores de protección de datos de la Unión Europea, ha confirmado que es la primera vez que los reguladores han cooperado en una investigación.

“Como las empresas de Internet no conocen fronteras, es indispensable que la protección de datos trabaje en conjunto”, sostiene.

 Fuente: Facua

Estadística del blog

  • 165.825 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: