//
Archivos

Archivos para

Las Autoridades Europeas de Protección de Datos concluyen su investigación sobre la nueva política de privacidad de Google

Reclaman a Google que informe de una forma más clara a sus usuarios y le piden que ofrezca un mayor control sobre la combinación de datos entre sus numerosos servicios.

Solicitan a la empresa que modifique las herramientas que emplea para evitar una recogida excesiva de datos.

Las Autoridades europeas de protección de datos han publicado sus conclusiones respecto de la nueva política de privacidad implementada por Google el pasado mes de marzo, tras meses de investigación liderada por la Autoridad francesa de protección de datos (CNIL).

Tras analizar las respuestas y la documentación proporcionada por Google, las Autoridades concluyen que Google no proporciona suficiente información a los usuarios sobre sus operaciones de tratamiento de datos. Asimismo, considera que Google no ofrece al usuario un control sobre el modo en que sus datos se combinan entre los diferentes servicios de Google.

Por ello, las Autoridades europeas requieren a Google que ofrezca una información más clara y completa sobre los datos que se recogen y las distintas finalidades de cada una de las múltiples operaciones de tratamiento de datos que lleva a cabo. En relación con la combinación de datos entre servicios, las autoridades emplazan a Google a que refuerce el consentimiento para las combinaciones que se basan en la autorización de los usuarios y a que ofrezca mejores posibilidades para que los usuarios puedan oponerse al tratamiento de sus datos en los casos en que las operaciones de tratamiento no precisan consentimiento.

Las Autoridades Europeas han remitido estas recomendaciones a Google para darle la oportunidad de mejorar su nueva política de privacidad, y esperan que Google tome medidas eficaces para cumplir rápidamente con estas recomendaciones.

Nueva política de privacidad

El pasado 24 de enero Google anunció que modificaría su política de privacidad y sus condiciones de uso para la mayoría de sus servicios a partir del 1 de marzo de 2012. Ante las numerosas dudas que estos cambios planteaban, el Grupo de Autoridades de Protección de Datos de la UE encomendó a la Autoridad francesa (CNIL) que dirigiera la investigación sobre esta nueva política de privacidad.

En este contexto, se enviaron dos cuestionarios sucesivos a Google. La empresa contestó a estos cuestionarios, pero varias de las respuestas resultaron incompletas o poco precisas. En concreto, Google no contestó suficientemente a cuestiones clave como la descripción de sus operaciones de tratamiento de datos personales o la lista detallada de las más de 60 políticas de privacidad específicas que se han sustituido por esta nueva política general.

Fuente: Agpd

INTECO presenta la «Guía de actuación contra el ciberacoso» para padres y educadores.

Portada «Guía de actuación contra el ciberacoso» para padres y educadores

El Instituto Nacional de Tecnologías de la Comunicación, INTECO, a través de la Oficina de Seguridad del Internauta (OSI) y del portal Menores OSI, presenta la primera edición de la «Guía de actuación contra el ciberacoso» para padres y educadores, un documento que pretende acercar a los usuarios no sólo cómo detectar el fenómeno, sino también cómo actuar ante esta situación.

La edición de esta guía es una de las iniciativas contempladas en la organización del “Mes de la Seguridad Cibernética” organizado a nivel europeo por la Agencia Europea de Seguridad de las Redes y la Información (ENISA), y coordinado en España por INTECO.

El hecho de que los menores de nuestro tiempo, los llamados «nativos digitales», viven en las nuevas tecnologías es una realidad incontestable. Esta capacidad de acceso a múltiples fuentes de información, la posibilidad de estar hiperconectados con sus compañeros y todas las ventajas que trae esta realidad, no ha impedido la aparición de riesgos. Ante esta situación, la mejor opción es, como se reitera desde la OSI, conocer profundamente el medio en el que se mueven los menores y, en el caso de que llegue una situación de acoso, saber cómo actuar.

Por lo tanto, la guía se presenta como un trabajo de análisis de los dos principales tipos de acoso que se dan actualmente en la red: el ciberbullying, o acoso entre menores, y el grooming, o acoso de un adulto a un menor de edad, para continuar analizando las formas de prevención en casa y en el centro escolar y terminar en la actuación no solo desde estos ámbitos, sino también en el judicial.

Para la elaboración de la guía se ha contado con la participación de expertos en distintas áreas: educadores, psicólogos, abogados, Fuerzas y Cuerpos de Seguridad del Estado y juristas, que han aportado su conocimiento y análisis de las situaciones que se dan en estos casos.

Esta guía pretende ser una primera edición de un documento que seguirá evolucionando con el análisis de otras situaciones como el sexting o el happy slapping y en la que, a la vez, se el número de colaboradores se ampliará a otros ámbitos como el de los médicos o a las redes sociales.

Además, en las próximas semanas se publicarán «Guías SOS» sobre estos temas, con los puntos más destacados y las recomendaciones fundamentales a la hora de la actuación en los casos de acoso a través de Internet.

La «Guía de actuación contra el ciberacoso» para padres y educadores se puede consultar en la sección de Recursos pedagógicos.

La instalación de un GPS en el vehículo de la empresa sin conocimiento del trabajador no vulnera su intimidad.

Así lo ha dictaminado la Sala de lo Social del Tribunal Superior de Justicia de Cataluña en su Sentencia de 5 de marzo de 2012.

Los hechos.

Una empresa, debido a los comentarios de empleados y encargados en relación a que un trabajador no cumplía su jornada laboral, decide instalar un GPS en el vehículo de la empresa que utiliza así como contratar un detective privado.

Con posterioridad, le envía una carta en que le recuerda que debe cumplir con las obligaciones del puesto de trabajo así como que en virtud del artículo 20.3 del Estatuto de los Trabajadores, el empresario puede adoptar las medidas oportunas de vigilancia y control para verificar el cumplimiento de esas obligaciones, si bien no se menciona la instalación del GPS, y obviamente, menos aún que se haya contratado un detective.

Dos meses después, y en base a la información recogida en el GPS, el empresario decide despedir al trabajador por la “supuesta  comisión de una falta de transgresión de la buena fe contractual y abuso de confianza en el desempeño del trabajo”.

Los fundamentos de derecho.

El trabajador alega la vulneración por parte de la empresa de los siguientes artículos de la LOPD: 6 (consentimiento); y 5.1 (derecho de información); y que por tanto se ha producido una recogida de datos de manera fraudulenta (4.7).

El Tribunal considera que el derecho a la intimidad no es absoluto y que “hay que tener en cuenta el poder de dirección del empresario, imprescindible para la buena marcha de la organización productiva (organización que refleja otros derechos reconocidos constitucionalmente en los artículos 33 y 38 CE ) y reconocido expresamente en el artículo 20 ET , atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales. Mas esa facultad ha de producirse en todo caso, como es lógico, dentro del debido respecto a la dignidad del trabajador, como expresamente nos lo recuerda igualmente la normativa laboral – artículos 4.2.c ) y 20.3 ET .”

Asimismo, el sistema utilizado, la implantación del GPS, es proporcional a la finalidad perseguida, que no es otra que “averiguar si cumplía su jornada laboral y si la actividad que durante la misma realizaba coincida o no con los partes de trabajo que facilitaba a la empresa”.

En este sentido, el sistema instalado cumple con los tres “juicios” para limitar un derecho fundamental según la doctrina del Tribunal Constitucional: “juicio de necesidad”, “juicio de proporcionalidad”, y “juicio de idoneidad”.

En cuanto a la información recibida por el trabajador al respecto, estima suficiente la comunicación que se realizó con posterioridad a su instalación, si bien, como ya se ha comentado anteriormente, no se especificó los medios utilizados.

Fallo.

Por lo tanto, se desestima el recurso interpuesto por el trabajador (ya había habido sentencia previa de 25 de marzo de 2011 dictada por el Juzgado de lo Social nº 28 de Barcelona), si bien no es firme y cabe Recurso de Casación para la Unificación de la Doctrina ante el Tribunal Supremo, Sala de lo Social.

¿Qué datos puede recabar un GPS?

Pues usando la Resolución de Archivo de la AEPD del E-742/2008 podemos decir que los siguientes:

Hora de arranque de la furgoneta;

Hora de aparcamiento de la furgoneta;

Puntos de paso y paradas de la furgoneta;

Velocidad de las furgonetas, tanto máxima como media;

Consumos del vehículo, siendo esto una simulación en función de los kilómetros recorridos;

Horas de funcionamiento de la furgoneta y horas en las que está parada;

Kilómetros realizados por jornada;

Desviación de horas de la furgoneta en función de un horario de trabajo configurable.

¿Qué dice la AEPD sobre la instalación de GPS para estas finalidades?

Informe 0193-2008:

“El artículo 20.3 del Estatuto de los Trabajadores (ET) dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

 “No obstante, la existencia de esta legitimación no excluye el cumplimiento del deber de informar, por parte del empresario previsto en el artículo 5.1 de la Ley Orgánica”.

 “En consecuencia, la actuación descrita en la consulta, genera el correspondiente fichero y en todo caso, será obligatoria su inscripción en el Registro General de Protección de Datos, conforme a lo establecido en el artículo 26 de la Ley Orgánica.”

¿Hay que informar al trabajador a efectos laborales o no de la instalación del GPS?

Según la Resolución de Archivo del E-2778-2010 de la AEPD:

“En el presente caso, ha quedado acreditado que LOGISLAND había informado al denunciante que los vehículos destinados a la realización de su función profesional y comerciales contaban con un sistema de localización y seguridad mediante GPS al haber aportado escrito en el que figura el recibí suscrito por el correspondiente denunciante.

 Es cierto que la información sobre el hecho de que los vehículos están dotados de GPS no implica necesariamente que se informe de su utilización a efectos de un posible despido.”

¿Cuál es la postura del Supervisor Europeo de Protección de Datos?

Aunque no hay un Dictamen específico sobre GPS (o bien yo no lo he encontrado) podemos hacernos una idea en el siguiente informe sobre la

la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican el Reglamento (CEE) n o 3821/85 del Consejo, relativo al aparato de control en el sector de los transportes por carretera, y el Reglamento (CE) n o 561/2006 del Parlamento Europeo y del Consejo:

“El uso de aparatos de control en el transporte por carretera implica el tratamiento de datos personales relativos a los conductores profesionales. Una gran parte del tratamiento está basado en el uso de aparatos de geolocalización y medios de comunicación a distancia, que son tecnologías que tienen un impacto considerable sobre la intimidad y la protección de datos de las personas”.

 “….aclarar los objetivos específicos y legítimos para los que se llevará a cabo una geolocalización constante. Debería especificarse claramente en la propuesta que no se permite la instalación y el uso de dispositivos con el fin directo y principal de permitir a los empresarios controlar a distancia y en tiempo real las acciones y el paradero de sus empleados”.

¿Y el Grupo del Artículo 29 de las Autoridades Europeas de Protección de Datos?

En el Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes se analiza la utilización de los GPS, pero más bien, como dice el nombre del informe en “dispositivos móviles”. No obstante, recomiendo también su lectura.

Conclusión:

Hay tratamiento de datos y no es necesario el consentimiento. Más dudas me ofrece la información a “efectos laborales”,  y posiblemente haya que distinguir entre dos situaciones diferentes:

–      El vehículo de la empresa lleva instalado un GPS desde el inicio de la prestación laboral del trabajador. Se tendría que informar de la citada instalación.

–      Se instala con la finalidad descrita en los hechos de la sentencia. Bastaría la información sin especificar la instalación, ya que de lo contrario perdería su finalidad.

Fuente: Privacidad Lógica

Publicado el 16 de octubre de 2012 por 

«Adecuación a la LSSI – V: contratación por vía electrónica»

La LSSI regula las obligaciones previas y posteriores a la celebración de contratos electrónicos. Además equipara la validez y eficacia de los contratos que así se pueden realizar, a los realizados en papel, siendo también admisibles en un juicio.


INTRODUCCIÓN

Según la Ley de Servicios de la Sociedad de la Información o LSSI un contrato celebrado por vía electrónica o contrato electrónico es aquel «en el que la oferta y la aceptación se transmiten por medios electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones». Los contratos electrónicos se rigen además de por la LSSI, por el Código Civil y de Comercio y por las normas civiles y mercantiles sobre contratos, y en particular las de protección de consumidores y usuarios protección de consumidores y usuarios.

¿A QUÉ CONTRATOS AFECTA?

Algunos ejemplos de contratos que se pueden realizar por vía electrónica son:

  • compra-venta de bienes a través de internet
  • contratación de servicios
  • aceptación de políticas de privacidad o condiciones de uso de redes sociales

Pero la contratación electrónica no es exclusiva de contratos relativos a contratación de bienes y servicios tecnológicos, por el contrario se refiere a contratos celebrados a través de medios electrónicos. Conviene destacar que en el caso particular de los servicios financieros aplica también la Ley 22/2007 sobre comercialización a distancia de servicios financieros a consumidores.

Sin embargo, no todos los contratos se pueden realizar por vía electrónica. La LSSI excluye los contratos relativos al derecho de familia y sucesiones (adopciones, separaciones, testamentos, herencias,…) y aquellos en los que para su validez sea necesario, según establezca la legislación específica, la forma documental pública o la intervención de notarios, registradores de la propiedad (por ej.: compra-venta de viviendas) u otras autoridades.

VALIDEZ Y EFICACIA

La LSSI equipara la validez y eficacia de los contratos electrónicos a los celebrados de forma escrita, siendo también admisibles en un juicio ante los Tribunales, como prueba documental. Además, obliga al que ofrece el contrato a facilitar toda la información al que compra o acepta servicios antes de la celebración del contrato, y a asegurarse de confirmar la recepción de la aceptación al consumidor.

OBLIGACIONES PREVIAS Y POSTERIORES A LA CONTRATACIÓN

Antes de iniciarse la contratación, el prestador de servicios debe poner a disposición del destinatario las condiciones generales del contrato de forma que puedan ser almacenadas y reproducidas.

Además la ley establece que el prestador, antes de iniciar la contratación, debe también informar al destinatario de forma «clara, comprensible e inequívoca» sobre:

  • los trámites o pasos a seguir para celebrar el contrato
  • si el documento generado, el contrato, va a ser almacenado por el prestador y si va ser accesible
  • los medios técnicos que se ponen a disposición del consumidor para identificar y corregir errores en los datos
  • la lengua o lenguas en que se podrá formalizar el contrato

Una vez celebrado el contrato la LSSI obliga al oferente a confirmar recepción de la aceptación, bien por medio de un acuse de recibo por correo electrónico u otro medio de comunicación equivalente, bien a través de un medio equivalente al utilizado en la contratación, siempre que pueda ser archivada por el destinatario y se pueda tener constancia de ello.

Existen dos excepciones a estas obligaciones:

  • que ambos contratantes así lo acuerden si ninguno de ellos es consumidor
  • que el contrato se haya celebrado exclusivamente mediante correo electrónico, si esto no se hace para eludir estas obligaciones

LUGAR DE CELEBRACIÓN

Se considera que los contratos electrónicos están realizados en la residencia habitual del consumidor. En el caso de contratos entre profesionales o empresarios, si no hay un pacto entre ellos, en el lugar en el que esté establecido el prestador de servicios.

PARA MÁS INFORMACIÓN:

Fuente: Inteco

Amplían la querella contra los dos celadores del Hospital Nuestra Señora de La Candelaria

Según informa el diario digital http://www.canariasahora.com el abogado de la paciente que ha denunciado a dos celadores de este centro hospitalario, ha ampliado la querella al contrastar los accesos de los imputados al historial clínico de la denunciante con la que realmente, según fuentes del hospital, les correspondía.

Este personal sanitario solo puede acceder a la historia clínica cuando realizan sus funciones administrativas (ingresos o traslados), no pudiendo realizar otro tipo de accesos. Según las diligencias que tramita el juzgado,  ninguno de los accesos de los celadores imputados al historial clínico guardaban relación con esas necesidades administrativas ni de gestión de incidencias. Consta que han “entrado mas veces al historial clínico que los propios médicos que la han intervenido y que siguen su evolución”, según consta en la intranet del hospital.

Hasta tal punto llegó el acceso a esta historia clínica que según ha puesto de manifiesto la auditoría realizada, la segunda persona imputada accedió hasta en cinco ocasiones a la historia clínica de la denunciante cuando esta ya no se encontraba en el centro hospitalario, ni siquiera estaba en Tenerife, sino en Pamplona, recuperándose de una intervención. Además, el primer imputado también ha realizado accesos en multitud de ocasiones a la historia clínica de la denunciante sin necesidad.

La Asociación para la Defensa de la Sanidad Pública en Canarias, que en un comunicado reciente afirmaba que “la seguridad y la privacidad de los datos son cruciales en las historias clínicas y en cuanto a los permisos de acceso a las mismas, ya que los pacientes son los propietarios de sus propias historias, son ellos mismos quienes han de decidir quién puede ver su información sanitaria y cuándo.Por tanto resulta inconcebible e intolerable que cosas como la denunciada puedan suceder en el Servicio Canario de la Salud cuando es éste el que ha de proteger las historias clínicas electrónicas de intrusos como los denunciados que no tienen la correspondiente autorización escrita por parte de la paciente “.

Habrá que seguir las evoluciones jurídicas de este caso así como la posible actuación de oficio de la propia Agencia Española de Protección de Datos, ya que, como todo parece apuntar, estamos ante una infracción grave, (art. 44.3.d), del deber de secreto , según regula el artículo 10 de la Ley Orgánica de Protección de Datos Personales.

Fuente: Canarias Ahora.

http://www.canariasahora.com/noticia/240139/

Estadística del blog

  • 165.827 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: