//
Archivos

Archivos para

Qué son las brechas de seguridad, cómo te pueden afectar y cómo protegerte

Te ofrecemos algunos consejos que debes tener en cuenta si crees que tu información puede haberse visto comprometida

Los vehículos en los que nos trasladamos son cada vez más seguros gracias a la eficacia de las medidas de seguridad que incorporan. En cualquier caso, no puede afirmarse que los vehículos sean completamente seguros, ya que el riesgo sigue existiendo. Los sistemas informáticos en los que nuestros datos personales son almacenados y procesados también son cada vez más seguros pero, como cualquier otro producto o servicio, se encuentran sujetos a posibles errores o fallos de funcionamiento que, en ocasiones, pueden terminar afectando a nuestra información personal, permitiendo que otras personas puedan tener acceso a nuestros datos personales. Esto es lo que se conoce como una “brecha de seguridad”.

Sigue leyendo

La confianza de nuestros clientes no tiene precio

Hace unos días el INCIBE  ha publicado este interesante artículo con el fin de que tomemos conciencia sobre la importancia que tiene en nuestra imagen y reputación las brechas de seguridad y las fugas de datos. Os animo a leer este pequeño artículo y a reflexionar sobre su contenido. Espero que os guste.

https://www.incibe.es/protege-tu-empresa/blog/confianza-nuestros-clientes-no-tiene-precio

Fuente: INCIBE

Un vecino de Las Palmas de GC denuncia a Jazztel (Orange) por un alta fraudulenta y le imponen dos multas de 35.000€ a la operadora

Un vecino de Las Palmas de Gran Canaria interpuso una denuncia ante la AEPD contra la compañía Jazztel. El motivo de dicha denuncia vino motivada por estar incluido en un fichero de moroso del cuál tuvo conocimiento cuando estaba en trámites de solicitar un préstamo para la adquisición de una vivienda.

Según Jazztel (ahora Orange), el vecino tenía una deuda con la compañía que ascendía a 341,04€ y procedió a registrarla en ASNEF. Según la propia investigación de la AEPD, la operadora realizó un tratamiento de los datos personales de la persona denunciante sin tener en cuenta los principios de consentimiento al tratamiento y de calidad de los datos. Sin el consentimiento inequívoco del denunciante incorpora sus datos personales a su fichero de clientes como titular de una línea de telefonía móvil; posteriormente, y siguiendo con la gestión de esos servicios, emite facturas a su nombre y –sin notificación de requerimiento de pago previo- incluye sus datos personales en Asnef y Badexcug asociados a una deuda que no le corresponde. Dicha acción ha resultado en la imposición de una sanción por vulneración del artículo 6.1 de la LOPD por la que se ha impuesto 35.000€ de multa y una segunda sanción por vulneración del artículo 4.3 de la LOPD por la que se ha impuesto otros 35.000€ de multa, para un total de 70.000€.

“Según la investigación, la persona denunciante no ha contratado con Jazztel servicios de telefonía y por razones no acreditadas fue dada de alta en su base de datos de clientes como titular de al menos una línea de teléfono. Orange no ha aportado contrato alguno suscrito por la persona denunciante. ”

“Hay grabaciones sonoras donde la única persona que se identifica es la que dice ser el solicitante de contratación, no se identifica la voz femenina y no hace constar el nombre de la empresa de servicios contratada por Jazztel para dicha verificación, que trata de grabar la contratación y luego la verificación de esa contratación. Tampoco Orange ha aportado documento que acredite la contratación de una empresa de servicio para ese fin.”

“Orange no ha acreditado que remitiera el contrato para su firma o desistimiento, o la nueva tarjeta SIM que debió recibir la persona solicitante para poder usar el teléfono ni la dirección postal donde fue remitida.”

“Como consecuencia de dichos servicios emitió facturas que no fueron pagadas y que más tarde fueron el motivo de la inclusión de los datos personales de la persona denunciante en los ficheros de morosos. No consta que le fueran notificados los requerimientos de pago previos a la inclusión.”

“En este caso, consta documentado que en los ficheros de Jazztel se encuentran registrados los datos de la persona denunciante, asociados a unos servicios de telefonía no solicitados por ella. Tales datos personales fueron registrados en los ficheros de la empresa y tratado para la emisión de comunicaciones, facturas, gestiones de cobro e inclusión en ficheros de solvencia patrimonial y crédito.”

“El tratamiento realizado por parte de Jazztel no se ajusta a lo establecido en la LOPD. Para que dicho tratamiento resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Por tanto, corresponde a Orange acreditar que cuenta con el consentimiento de la denunciante para el tratamiento de sus datos personales y no consta que el operador lo tuviera con posterioridad. Resulta, por tanto, evidente la existencia de, al menos, una falta de la diligencia debida en los hechos imputados por parte de dicha operadora, que trató los datos de la denunciante sin su consentimiento.

La falta de pruebas (el contrato firmado -que en la grabación dicen enviar para devolver firmado o desistir en siete días- acompañado de copia de DNI o cualquier documento acreditativo de la identidad, o el recibí del envió del contrato y la tarjeta SIM con identificación del receptor y documentación de dicha identificación) que acrediten que la persona denunciante otorgó su consentimiento efectivo a la entidad denunciada en el tratamiento pone de manifiesto que esta operadora no ajustó su comportamiento, en el presente caso, a la diligencia de la actividad profesional que desarrolla exige a fin de garantizar el respeto al derecho fundamental a la protección de los datos personales.

Es requisito indispensable para que los datos del deudor puedan ser incluidos en un fichero de los creados al amparo del artículo 29.2, que quede acreditada la existencia de una deuda cierta vencida y exigible, y que ésta haya sido requerida previamente de pago antes de comunicar los datos del deudor al responsable del fichero común. Además, la obligación establecida en el artículo 4.3 de la Ley Orgánica 15/1999, implica que los datos que se incorporen a cualquier fichero deberán ser exactos y responder en todo momento a la situación actual de los afectados. La exigencia de que la deuda sea “cierta”, (artículo 38.1.a) del R.D. 1720/2007) responde al principio de calidad de los datos plasmado en el artículo 4.3 de la LOPD.

En este caso, Jazztel ha emitido facturas asociadas a los datos personales de la persona denunciante por servicios que no había contratado, asociándolos a una deuda que no le correspondía y, sin haberle requerido previamente, aquella entidad instó el alta de sus datos personales en ficheros de morosos, según el detalle que consta en los Hechos Probados.

En consecuencia, la persona denunciante fue tratada como deudora de una cantidad que no le corresponde, resultando que Jazztel hizo uso de unos datos inexactos.

Esta incidencia se produjo porque no efectuó las oportunas comprobaciones en los datos personales recogidos, y las consiguientes subsanaciones, que hubiesen evitado que se produjeran los hechos que sirven de causa al presente procedimiento sancionador.”

Fuente. AEPD.

Procedimiento por infracción del art. 12.2 contra el Ayuntamiento de Telde por cesión de datos a VALORA GESTIÓN TRIBUTARIA

Un ciudadano de la ciudad de Telde presentó en agosto y octubre de 2014 denuncia ante la AEPD contra el Ayuntamiento de Telde por haber cedido sus datos personales sin su consentimiento al organismo VALORA GESTIÓN TRIBUTARIA para la gestión de cobro de la tasa de basura.

El Ayuntamiento de Telde presentó como alegación que con fecha 26/11/2013 y posteriormente con fecha 3/06/2013 se acordó en el pleno municipal delegar la gestión de recaudación en Valora.

Dicha delegación de los servicios de recaudación no nació de un contrato o cualquier otra negocio jurídico sino en virtud de una delegación de funciones.

El Ayuntamiento facilitó los datos a Valora (facilitó las cuentas bancarias) el resto de los datos ya los tenía Valora al gestionar los datos del IBI y afirmó haber notificado a los contribuyentes sobre este cambio en la gestión recaudatoria.

El artículo 12 de la LOPD estipula lo siguiente: “Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

De la lectura del citado artículo 12 se deduce que, para que concurra la figura del “acceso a los datos por cuenta de tercero”, la relación deberá estar regulada en un contrato que deberá constar por escrito o en alguna forma que permita acreditar su celebración y contenido. El citado contrato permite que el responsable del fichero habilite el acceso material a datos de carácter personal por parte de la entidad que va a prestarle un servicio –encargado del tratamiento- sin que, por mandato expreso de la ley, pueda considerarse dicho acceso como una cesión de datos. Sin embargo, ese acceso o tratamiento por parte del que presta el servicio aparece rodeado de un abanico de garantías para los afectados que el propio artículo 12 impone. La primera de ellas estriba en que haya una constancia expresa de que el responsable del fichero ha encargado el tratamiento de los datos, para lo cual se exige que conste en un contrato. A este respecto, el artículo 12 impone un requisito formal por cuanto el contrato debe constar escrito o, en todo caso, debe acreditarse formalmente su celebración. Es decir, la norma impone que siempre exista una relación jurídica de naturaleza contractual entre el responsable y el tercero al que encarga el tratamiento y, además, exige una constancia formal de dicha relación, que conste por escrito o en cualquier otra forma que permita acreditar su celebración y contenido, que deberá especificar las circunstancias previstas por los apartados 2 y 3 del citado precepto.

En este caso, la delegación de facultades de gestión y recaudación tributaria por parte de la entidad Ayuntamiento de Telde al Cabildo de Gran Canaria, que las ejerce a través del organismo autónomo Valora Gestión Tributaria, se encuadra en la situación prevista en el referido artículo 12 de la LOPD y, por tanto, esta actuación encaja en la figura del encargado del tratamiento. Conforme a la citada normativa, el organismo Valora Gestión Tributaria interviene en los hechos en su condición de encargado de tratamiento, por virtud de la citada delegación del Ayuntamiento de Telde, siendo ésta última entidad la responsable del fichero o tratamientos, por cuanto tiene el poder de decisión sobre la finalidad, contenido y uso del tratamiento.

Conforme a lo dispuesto en el artículo 12 de la LOPD y en el artículo 20 del Reglamento de desarrollo de dicha Ley Orgánica, el acceso a los datos por parte de un encargado del tratamiento que resulte necesario para el desarrollo de las tareas encomendadas por el responsable no se considerará comunicación de datos, siempre y cuando se cumpla lo establecido en la citadas normas salvo que el acceso “tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”.

En este caso, la entidad Valora Gestión Tributaria se encarga de la gestión y recaudación de la Tasa de Recogida de Residuos Sólidos Urbanos establecida por el Ayuntamiento de Telde y lo hace en representación de esta entidad, sin que de ello resulte una relación que vincule a Valora Gestión Tributaria con los contribuyentes. El citado Ayuntamiento es quien ostenta la condición de responsable del fichero, no pudiendo ser la entidad colaboradora Valora Gestión Tributaria más que una encargada del tratamiento que accede a los datos de las personas obligadas al pago de la tasa con la única finalidad de ejercer la potestad que le ha sido delegada por el Ayuntamiento, que no puede utilizarlos para ninguna otra actividad y debe tratarlos conforme a las instrucciones del responsable del tratamiento. Asimismo, deberá devolver los datos a los que accede una vez concluida la prestación del servicio.

eEn consecuencia, la relación jurídica que vincula al Ayuntamiento de Telde y al organismo Valora Gestión Tributaria para la gestión de aquella tasa deberá constar por escrito y cumplir las exigencias formales previstas en el artículo 12 de la LOPD antes reseñadas, aunque en este caso no se trate de un contrato en el sentido de acuerdo de voluntades. El contenido de ese encargo del tratamiento regulado en el apartado 2 del citado artículo puede incorporarse en los actos de la delegación de facultades o constar por separado en un documento elaborado con esta concreta finalidad.

En el presente caso, existe constancia formal sobre la relación jurídica que vincula al Ayuntamiento de Telde y a Valora Gestión Tributaria, que ampara el acceso por parte de ésta a los datos personales de los sujetos obligados al pago de la Tasa de Recogida de Residuos Sólidos Urbanos, por virtud de la delegación de competencias formalizada al amparo de la normativa aplicable, pero la documentación formalizada no contiene ninguna referencia al artículo 12 de la LOPD, incumpliendo las obligaciones establecidas en relación al contenido del contrato de encargado del tratamiento. A este respecto, la Sentencia del Tribunal Supremo de 17/04/2007 declaró lo siguiente:

… lo que necesariamente exige una forma que refleje y deje constancia no sólo de su celebración sino de su contenido, que incluso se especifica en sus cláusulas imprescindibles en el propio precepto. Tal exigencia responde a la finalidad de la norma de garantizar que el acceso de terceros a los datos de carácter personal, objeto de tratamiento automatizado, se produzca únicamente en los casos y con las limitaciones legalmente establecidas, plasmándose las condiciones, finalidad y alcance de la cesión de forma que resulte controlable en su desarrollo y cumplimiento”.

Este planteamiento, que resulta de la aplicación de la normativa reguladora de la protección de datos de carácter personal, no se modifica por el hecho de que los encargos que se realicen a la entidad Valora Gestión Tributaria se lleven a cabo mediante acuerdos de delegación de facultados adoptados de conformidad con la normativa que el Ayuntamiento de Telde cita en sus alegaciones. Y tampoco el hecho de que Valora Gestión Tributaria esté configurado como un ente instrumental creado por el Cabildo de Gran Canaria para la gestión y recaudación de ingresos de derecho público y para prestar asistencia y apoyo técnico a los Municipios de la Isla supone que aquellas delegaciones de facultades queden fuera del ámbito de aplicación de la LOPD y sus normas de desarrollo, con el alcance que en cada caso corresponda.

El artículo 44.2.d) de la LOPD en su vigente redacción aprobada por Ley 2/2011, considera infracción leve: “La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.”

En el presente procedimiento se imputa a la entidad Ayuntamiento de Telde una infracción del artículo 12.2 de la LOPD, que aparece tipificado como infracción leve en el mencionado artículo 44.2.d), que resulta de la falta de instrucciones a Valora Gestión Tributaria sobre las circunstancias previstas en aquel artículo, en relación con la delegación de las facultades de gestión, liquidación, inspección y recaudación de tributos e ingresos, en la tasa de recogida de residuos sólidos urbanos en cuanto a los apartados a) de gestión tributaria y b) de recaudación voluntaria, acordada por dicho Ayuntamiento en el Pleno celebrado en fecha 03/06/2013.

En el presente caso, la entidad Ayuntamiento de Telde, aunque se ha mostrado dispuesta, no ha justificado ante esta Agencia haber adoptado ningún acuerdo dirigido a subsanar las deficiencias formales que han motivado el procedimiento. Por tanto, procede requerir la adopción de medidas para impedir que en el futuro pueda producirse de nuevo una infracción de lo dispuesto en el artículo 12.2 de la LOPD.

Fuente. AEPD. PS-AAPP-0050-2015

Procedimiento sancionador a VALORA GESTIÓN TRIBUTARIA por infracción grave al vulnerar el artículo 9 de la LOPD

La entidad VALORA GESTIÓN TRIBUTARIA, organismo autónomo local de carácter administrativo creado por el Cabildo de Gran Canaria, ha sido sancionada por incumplimiento del artículo 9 de la LOPD, en relación con el artículo 92 del RD 1720/2007, de 21 de diciembre.

Los hechos se remontan al 26/02/2016 cuando un ciudadano presentó la denuncia ante la AEPD al recibir en su domicilio, una notificación de VALORA mediante carta certificada en la que el frontal de la misma constaba, junto a sus datos personales, el motivo de la comunicación: “Notificación de embargo de cuentas corrientes” y “Providencia de embargo trabajador“, siendo esa información accesible a terceras personas.

 En la primera carta: NOTIFICACIÓN DE EMBARGO DE CUENTA CORRIENTE NOTIFICACIÓN Nº: *********1 EXPEDIENTE Nº: 2015-01-***** GRUPO: XXXXX

 Y en la segunda: EMBSAL: PROVIDENCIA EMBARGO TRABAJADOR NOTIFICACIÓN Nº: *********2 EXPEDIENTE Nº: 2015-01-***** GRUPO: XXXXX

Se imputa a la entidad VALORA GESTIÓN TRIBUTARIA. el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone:

“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”.

El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

El Artículo 92.3 del reglamento, bajo el epígrafe, Gestión de soportes y documentos dice: En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

“Así, VALORA GESTIÓN TRIBUTARIA. está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de notificaciones de los embargos correspondientes a los ciudadanos, que no impide de manera fidedigna que los datos personales de éstos: nombre, apellidos y domicilio completo, puedan ser accesibles por terceros, asociados a su situación de «embargado».”

“VALORA GESTIÓN TRIBUTARIA manifestó en su escrito de 31 de agosto de 2016, que en los sobres en cuestión sólo constan los datos del titular a efectos de notificación, nombre del procedimiento administrativo seguido en cada caso e identificación numérica del mismo, no considerando que con ello se esté facilitando ningún dato que deba estar protegido a efectos de la LOPD, y todo ello en base a identificar cada notificación remitida, así como informar al ciudadano del procedimiento seguido en que es parte interesada.

Sin embargo, tal alegato no puede ser aceptado.

En primer lugar, lo que es objeto de valoración en el presente caso es la vinculación de las expresiones que figuran en las cartas (notificación en embargo de cuenta corriente y providencia de embargo trabajador) con los datos del denunciante. La indicación en los frontales de las cartas del nombre del procedimiento del que se trata, o sobre el asunto que versa el mismo, lo que unido a los datos del denunciante, nombre, apellidos y domicilio, permite la asociación de ambas informaciones y la posibilidad de que terceras personas puedan acceder a ellos. Esta forma de comunicación impide salvaguardar la confidencialidad de la correspondencia, pues asocia las expresiones cuestionadas con los datos personales del destinatario, y en el caso que nos ocupa, permite conocer que el denunciante está en inmerso en un proceso de embargo.”

“El artículo 44.3.h) de la LOPD, considera infracción grave: “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. En el caso examinado, de las actuaciones practicadas ha quedado acreditado que VALORA GESTIÓN TRIBUTARIA vulneró el artículo 9 de la LOPD, en relación con el artículo 92 del Reglamento de desarrollo de la LOPD, al enviar dos cartas certificadas con la expresión “notificación en embargo de cuenta corriente”, en una y “providencia de embargo trabajador” de manera visible, permitiendo la vinculación de esta información con los datos personales del denunciante.”

Visto este procedimiento sancionador AAPP-00065/2016 se puede percibir claramente la actitud nada diligente de este organismo a la hora de comunicar a la ciudadanía las notificaciones, poniendo a disposición pública de terceros información que es de carácter confidencial.

De la inscripción de ficheros al registro de actividades

La obligatoriedad actual de inscribir los ficheros en la Agencia por parte de aquellos que tratan datos será sustituida a partir del 25 de mayo de 2018 por la de contar con un registro de actividades

El 25 de mayo de 2018 comenzará a aplicarse el Reglamento General de Protección de Datos y, en consecuencia, desaparece la primera de las obligaciones del responsable que trata datos de carácter personal: la notificación gratuita de ficheros ante el Registro General de Protección de Datos de la AEPD.

Las dos normas de aplicación en España en materia de protección de datos de carácter personal desde 1992, la derogada LORTAD y la actual LOPD, habían previsto como primera obligación del responsable comunicar a la Agencia los ficheros empleados en su actividad y que contengan datos de carácter personal, describiendo qué datos se recogen, con qué fin, de quién se recogen, qué medidas de seguridad se van tomar sobre los mismos, si el fichero es automatizado, manual o mixto y si esos datos van a cederse a terceros o si van a transferirse fuera del Espacio Económico Europeo.

La obligación, que en el caso de ficheros de titularidad pública comenzaba por la publicación en el correspondiente Diario Oficial de la descripción del fichero por parte del responsable, se convirtió en la puerta de entrada a la protección de datos para buena parte de las entidades. Los empresarios y las administraciones empezaban a ser conscientes ante qué estaban cuando se encontraban frente a un formulario de notificación y tenían la necesidad de describir los puntos antes mencionados. Tras esta obligación, la primera pero no la única como la misma resolución de inscripción recuerda al responsable, debe observar el resto de obligaciones que la legislación impone.

El Registro General de Protección de Datos atiende al responsable del fichero en sus obligaciones, entre otras, de inscripción de ficheros y es el responsable de dar publicidad a los mismos a través de la página web de la Agencia. El objetivo es que el ciudadano pueda conocer de la forma más exacta posible qué se está realizando con sus datos de carácter personal cuando los aporta a una administración pública o a una entidad privada, y dónde puede ejercer sus derechos en protección de datos.

La inscripción de ficheros en el Registro General de Protección de Datos creció de manera exponencial a partir del año 2006 con la aparición del formulario electrónico NOTA y la posibilidad de emplear un procedimiento de administración electrónica completo para este proceso. Las estadísticas de inscripción de ficherosmuestran además el impulso que, en enero de 2008, supuso la aparición del Reglamento de desarrollo de la LOPD (RLOPD).

En la actualidad el Registro de Ficheros mantiene un crecimiento anual de un 9% y sobre él se realizan una media de 2.754 operaciones diarias (datos de 2016), observándose una evolución en el tipo de operaciones que sobre él se ordenan. Se ha pasado de una masiva inscripción de alta de ficheros a la recepción de un número importante de operaciones de inscripción de modificación y de supresión que atiende a la necesidad de mantener la inscripción actualizada y que aparece estipulada en el artículo 58 del RLOPD. Los ficheros evolucionan, cambian su finalidad, se recogen otros datos de las personas que forman el colectivo objeto del mismo y hay que suprimirlos si deja de existir la razón por la que fueron creados o la entidad que se declaraba responsable.

La aplicación del nuevo Reglamento General de Protección de Datos a partir del 25 de mayo de 2018 supone al responsable obligaciones distintas en materia de protección de datos. El artículo 30 estipula que cada responsable y, en su caso, su representante llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad. El responsable se encuentra por tanto, nuevamente, ante la necesidad de describir qué datos recoge, con qué fin los trata, a quién o quiénes los comunica, si los transfiere a terceros países, qué medidas técnicas y organizativas aplicará para preservar su seguridad, y cuándo podrá suprimirlos.

Es en este punto donde la existencia del Registro de Ficheros puede convertirse en una herramienta de ayuda y un punto de partida ante la tarea que será obligatoria a partir del 25 de mayo de 2018.

El responsable con los ficheros actualmente inscritos en la Agencia ya hizo en su día un ejercicio de descripción de los tratamientos de datos de carácter personal que llevaba a cabo cuando se vio en la obligación de realizar la Notificación de sus ficheros. En este punto, será evidente el paso de ese conjunto de ficheros a la elaboración del Registro de las actividades del tratamiento y la puesta al día de sus obligaciones en materia de protección de datos.

Fuente: AGPD.

Estadística del blog

  • 110,257 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: