//
Archivos

Resoluciones

Esta categoría contiene 26 entradas

La importancia de la información por capas en el Reglamento General de Protección de Datos

El marco aplicable a partir del 25 de mayo de 2018 obliga a proporcionar a los ciudadanos más información de la que exige expresamente la actual Directiva, de la que emana la LOPD.

La obligación de informar a los interesados cuanto se van a recabar, usar o almacenar datos personales ya estaba recogida en la Directiva 95/46/CE (Directiva de la que emana la actual LOPD). Sin embargo, el nuevo Reglamento General de Protección de Datos (RGPD) concede una mayor importancia a la información que se debe proporcionar a los ciudadanos cuyos datos van a tratarse, y contempla una lista exhaustiva de los contenidos que deben ser expuestos.

Esta obligación debe estar en consonancia con otro importante mandato: el de informar de forma concisa, inteligible y con un lenguaje claro y sencillo. En la actualidad abundan los casos de cláusulas informativas o políticas de privacidad cuya lectura puede prolongarse durante horas y que no se caracterizan por su claridad y concisión. La tarea de aunar ambas obligaciones representa todo un reto, puesto que cumplir la primera sin tener en cuenta la segunda debilitaría el derecho de los interesados a recibir una información adecuada y comprensible recogido en el nuevo Reglamento y podría llegar a considerarse una infracción de sus disposiciones.

La Agencia Española de Protección de Datos presentó recientemente nuevos materiales para ayudar a las pymes a cumplir con el nuevo Reglamento, en colaboración con las autoridades catalana y vasca de Protección de Datos. Entre ellos se incluía la Guía para el cumplimiento del deber de informar, en la que se ofrecen recomendaciones y soluciones prácticas sobre los modos de proporcionar esta información dando así cumplimiento al nuevo marco normativo.

Una de las propuestas contenida en la Guía sugiere presentar la información que exige el Reglamento por capas: una primera que incluya un nivel básico de la información requerida, de forma estructurada y muy concentrada, para remitir posteriormente a otra capa que contenga esa información más detallada. El enlace entre capas dependerá del medio en que se proporcione la información.

En muchos casos la forma más adecuada será ofreciendo en la primera capa un enlace a otras direcciones web. En otros casos la primera capa podrá dirigir a una segunda que se encuentre impresa en el reverso de un formulario. En todo caso, el objetivo central es que en el primer bloque de información no falte ningún aspecto relevante, aunque sea expuesto de forma sintética, y que para el interesado resulte evidente y sencillo el modo de acceder a la información completa en las siguientes capas.

Podemos encontrar claros ejemplos que ponen de manifiesto la utilidad de presentar la información mediante capas, como es el caso de los avisos de cámaras de videovigilancia. De otra forma no sería posible condensar toda la información relevante sobre el tratamiento de datos. Otro ejemplo son los avisos de cookies en páginas web, en los que se informa del tratamiento de datos de los usuarios efectuado mediante estos dispositivos y del seguimiento que se hace de los lugares visitados, remitiendo a una capa adicional para obtener más información.

La propuesta de presentar la información por capas sugiere que el cumplimiento de esta obligación podría llevarse a cabo a través de tablas informativas visualmente similares a las tablas nutricionales de los productos que compramos en el supermercado. El Reglamento, de hecho, prevé que la información pueda ir acompañada de iconos, que la hagan más comprensible, accesible e intuitiva.

Esta iniciativa presentada por la AEPD y las autoridades autonómicas se alinea con la intención del legislador europeo de buscar fórmulas que promuevan la presentación de información de manera más sencilla y simplificada.

Fuente: AGPD

¿Por qué es importante prestar atención a los textos que acompañan a las apps que descargamos?

Después de la selección de la tienda de apps y de la configuración de los permisos de la aplicación en nuestro dispositivo llega el momento de fijarnos en una tercera barrera que protege nuestra privacidad.

Los términos y condiciones, o condiciones de uso y contratación, políticas de privacidad y otros documentos son elaborados por el proveedor del servicio (en este caso de la entidad que gestiona la app) y en ellos se regula la relación del usuario con respecto a los servicios que se ofrecen y los datos personales que se manejan. Una de las primeras acciones que el proveedor nos obliga a hacer cuando adquirimos o instalamos la aplicación, y siempre antes de usarla, es manifestar nuestra aceptación de los términos y condiciones. Esta aceptación antes era implícita en muchos casos (si usted está aquí utilizando este programa está aceptando los términos…), pero los proveedores la van explicitando cada vez más. Por ejemplo, se muestran los términos y al en la parte final se incluye un botón para aceptarlos o abandonar, o se muestra una casilla de verificación y un enlace que lleva a la página de los documentos.

Sigue leyendo

Los números de 2015

Los duendes de las estadísticas de WordPress.com prepararon un informe sobre el año 2015 de este blog.

Aquí hay un extracto:

La sala de conciertos de la Ópera de Sydney contiene 2.700 personas. Este blog ha sido visto cerca de 23.000 veces en 2015. Si fuera un concierto en el Sydney Opera House, se se necesitarían alrededor de 9 presentaciones con entradas agotadas para que todos lo vean.

Haz click para ver el reporte completo.

¿Se puede incluir a un ciudadano en el registro de morosos cuando se ha interpuesto una reclamación ante un órgano arbitral a fin de concluir si la deuda reclamada es cierta o no?.

El artículo 4.3 de la LOPD explicita lo siguiente:

“Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

 Este apartado del artículo 4 forma parte del cuerpo del principio de calidad expuesto en la LOPD.

 Por tanto, si se incluyera los datos de un ciudadano en el registro de morosos mientras exista una reclamación ante un órgano arbitral a fin de concluir si la deuda reclamada es cierta o no, y dicha reclamación sea de conocimiento de las partes, no cumpliría con el requisito expuesto en dicho principio de calidad, ya que el dato incluido “no responde a la veracidad de la situación actual del afectado ni a su exactitud…

 La Sección Primera de la Sala de lo Contencioso de la Audiencia Nacional así lo ha confirmado en una sentencia del 30 de mayo de 2012 en la que viene a ratificar, en parte,  la sanción impuesta contra Orange (France Telecom) por la Agencia Española de Protección de Datos, sanción que ascendía a 50.000€, aunque luego fue reducida a 6.000€ por dicho Tribunal.

 Entre los aspectos mas importantes de la sentencia destacamos los siguientes párrafos:

 “El Abogado del Estado sostiene en su escrito de contestación a la demanda que France Telecom instó la inscripción en el fichero Asnef de una deuda de 125 € sin efectuar el previo requerimiento de pago y además, no esperó el resultado de la Junta Arbitral de Consumo a la que acudió el denunciante y pese a que la Junta Arbitral entendió que la deuda existía en su concepto, nada obste a que la AEPD valorase si las inclusiones en los ficheros de morosidad se hicieron cumpliendo o no la normativa de protección de datos y en este caso Orange incluyó los datos del denunciante en el fichero de morosidad pese a que conocía la reclamación administrativa en cuestión.”

 “La AEPD fundamenta también la infracción del principio de calidad de datos, en el hecho de haber incluido France Telecom los datos del denunciante en el fichero Badexcug y haberlos mantenido en el fichero Asnef, por el impago de una factura pese a conocer la existencia de una reclamación administrativa formulada ante los servicios de protección al consumidor de …”

 “La redacción del artículo 38 del RDLOPD, tras la aplicación de la citada STS de 15 de julio de 2010 es la siguiente:

 Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

 a) Existencia previa de una deuda cierta, vencida, exigible que haya resultado impagada.

 b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación.

 c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

 3 El acreedor o quien actué por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo a que se refiere el artículo siguiente.

 Es decir, para la inclusión de los datos en ficheros de información sobre solvencia patrimonial y crédito, tanto la redacción actual del precepto como la original requiere al inicio del apartado 1.a) que la deuda sea cierta, exigencia que responde al principio de veracidad y exactitud de los datos recogido en el artículo 4.3 de la LOPD al expresar que ” Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.

 

 

 

Nueva sanción doble a Vodafone por incluir una deuda inexistente en un fichero de morosos

Nuevamente Vodafone ha sido sancionada por al AEPD por infracción del artículo 11.1 en relación con el artículo 6.1 de la LOPD tipificada como grave y del artículo 4.3 de la LOPD tipificada como grave, ambas sanciones ascendieron a 20.000€ cada una.

En su procedimiento sancionador y, previa inspección en la sede de la empresa Vodafone, quedaron acreditados los siguientes hechos:

1.- Vodafone vendió la deuda a Salus Inversiones.

2.- El cliente denunciante constaba en sus ficheros como titular de una línea que fué dada de baja por impago.

3.- Vodafone reconoce que no tiene grabación que acredite la contratación del servicio.

4.- Que en los ficheros de Vodafone consta la existencia de una deuda de 195,38€ que vende a Salus Inversiones.

5.- Que los datos del titular fueron incluidos en el fichero Asnef así como en el fichero Badexcug por Vodafone y posteriormente se produce una cesión de la deuda a Salus Inversiones.

El procedimiento incide en los siguientes argumentos:

a) Como Vodafone ha reconocido, no ha aportado ninguna prueba a tal fin – esto es, que recabó y obtuvo del afectado su consentimiento para la contratación de dicha línea vinculado a sus datos personales -; tampoco que hubiera adoptado las medidas a las que le obliga la diligencia mínima que debe observar en el tratamiento de los datos delas personas en relación con los productos de telecomunicaciones que comercializa. Es esta falta de diligencia es lo que hace recaer sobre la denunciada la responsabilidad por los hechos enjuiciados.

b)  Las normas jurídicas  ponen de manifiesto que la comunicación de los datos de un tercero a un fichero de solvencia patrimonial exige, por una parte, que la deuda sea cierta, vencida, exigible y que haya resultado impagada, y por otra, que se haya requerido de pago al deudor antes de informar los datos a la entidad responsable de la gestión del fichero. Conviene recordar, además, que es el acreedor el responsable de comprobar que los datos que se comunican se ajustan a los requisitos establecidos en el artículo 4 de la LOPD y su normativa de desarrollo.

En el asunto que nos ocupa resulta probado que Vodafone incorporó a sus sistemas informáticos datos personales del denunciante asociados a una línea de telefonía móvil de la que no era titular; pues la operadora, tal como expusimos, no ha probado que el afectado hubiera prestado el consentimiento inequívoco que la Ley exige para el tratamiento de sus datos. Por ello, el tratamiento posterior de esos datos, materializado además en la emisión de facturas por unos servicios que el denunciante no contrató, determinó que la operadora le imputara una deuda que, respecto del denunciante, no era cierta, ni vencida ni exigible. Posteriormente, ante el impago de la deuda generada Vodafone comunicó a los ficheros Asnef y Badexcug los datos personales del denunciante.

En el presente caso, los datos personales del denunciante fueron incluidos por Vodafone en los ficheros de solvencia Asnef y Badexcug vinculados a una deuda que era ajena al denunciante; deuda que no era cierta, ni vencida ni exigible desde la perspectiva del afectado, por cuanto no tenía la condición de deudor ya que no había prestado su consentimiento para el alta de la línea controvertida. Por ello la información comunicada por Vodafone a los ficheros Asnef y Badexcug no se ajustó al principio de exactitud y veracidad, corolario del principio de calidad del dato que proclama el artículo 4.3 de la LOPD.

Por estos motivos el Director de la AEPD resolvió sancionar con sendas multas de 20.000€ cada una de las dos infracciones cometidas.

Fuente. AGPD.

PS/00292/2014

INTECO presenta la «Guía de actuación contra el ciberacoso» para padres y educadores.

Portada «Guía de actuación contra el ciberacoso» para padres y educadores

El Instituto Nacional de Tecnologías de la Comunicación, INTECO, a través de la Oficina de Seguridad del Internauta (OSI) y del portal Menores OSI, presenta la primera edición de la «Guía de actuación contra el ciberacoso» para padres y educadores, un documento que pretende acercar a los usuarios no sólo cómo detectar el fenómeno, sino también cómo actuar ante esta situación.

La edición de esta guía es una de las iniciativas contempladas en la organización del “Mes de la Seguridad Cibernética” organizado a nivel europeo por la Agencia Europea de Seguridad de las Redes y la Información (ENISA), y coordinado en España por INTECO.

El hecho de que los menores de nuestro tiempo, los llamados «nativos digitales», viven en las nuevas tecnologías es una realidad incontestable. Esta capacidad de acceso a múltiples fuentes de información, la posibilidad de estar hiperconectados con sus compañeros y todas las ventajas que trae esta realidad, no ha impedido la aparición de riesgos. Ante esta situación, la mejor opción es, como se reitera desde la OSI, conocer profundamente el medio en el que se mueven los menores y, en el caso de que llegue una situación de acoso, saber cómo actuar.

Por lo tanto, la guía se presenta como un trabajo de análisis de los dos principales tipos de acoso que se dan actualmente en la red: el ciberbullying, o acoso entre menores, y el grooming, o acoso de un adulto a un menor de edad, para continuar analizando las formas de prevención en casa y en el centro escolar y terminar en la actuación no solo desde estos ámbitos, sino también en el judicial.

Para la elaboración de la guía se ha contado con la participación de expertos en distintas áreas: educadores, psicólogos, abogados, Fuerzas y Cuerpos de Seguridad del Estado y juristas, que han aportado su conocimiento y análisis de las situaciones que se dan en estos casos.

Esta guía pretende ser una primera edición de un documento que seguirá evolucionando con el análisis de otras situaciones como el sexting o el happy slapping y en la que, a la vez, se el número de colaboradores se ampliará a otros ámbitos como el de los médicos o a las redes sociales.

Además, en las próximas semanas se publicarán «Guías SOS» sobre estos temas, con los puntos más destacados y las recomendaciones fundamentales a la hora de la actuación en los casos de acoso a través de Internet.

La «Guía de actuación contra el ciberacoso» para padres y educadores se puede consultar en la sección de Recursos pedagógicos.

La instalación de un GPS en el vehículo de la empresa sin conocimiento del trabajador no vulnera su intimidad.

Así lo ha dictaminado la Sala de lo Social del Tribunal Superior de Justicia de Cataluña en su Sentencia de 5 de marzo de 2012.

Los hechos.

Una empresa, debido a los comentarios de empleados y encargados en relación a que un trabajador no cumplía su jornada laboral, decide instalar un GPS en el vehículo de la empresa que utiliza así como contratar un detective privado.

Con posterioridad, le envía una carta en que le recuerda que debe cumplir con las obligaciones del puesto de trabajo así como que en virtud del artículo 20.3 del Estatuto de los Trabajadores, el empresario puede adoptar las medidas oportunas de vigilancia y control para verificar el cumplimiento de esas obligaciones, si bien no se menciona la instalación del GPS, y obviamente, menos aún que se haya contratado un detective.

Dos meses después, y en base a la información recogida en el GPS, el empresario decide despedir al trabajador por la “supuesta  comisión de una falta de transgresión de la buena fe contractual y abuso de confianza en el desempeño del trabajo”.

Los fundamentos de derecho.

El trabajador alega la vulneración por parte de la empresa de los siguientes artículos de la LOPD: 6 (consentimiento); y 5.1 (derecho de información); y que por tanto se ha producido una recogida de datos de manera fraudulenta (4.7).

El Tribunal considera que el derecho a la intimidad no es absoluto y que “hay que tener en cuenta el poder de dirección del empresario, imprescindible para la buena marcha de la organización productiva (organización que refleja otros derechos reconocidos constitucionalmente en los artículos 33 y 38 CE ) y reconocido expresamente en el artículo 20 ET , atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales. Mas esa facultad ha de producirse en todo caso, como es lógico, dentro del debido respecto a la dignidad del trabajador, como expresamente nos lo recuerda igualmente la normativa laboral – artículos 4.2.c ) y 20.3 ET .”

Asimismo, el sistema utilizado, la implantación del GPS, es proporcional a la finalidad perseguida, que no es otra que “averiguar si cumplía su jornada laboral y si la actividad que durante la misma realizaba coincida o no con los partes de trabajo que facilitaba a la empresa”.

En este sentido, el sistema instalado cumple con los tres “juicios” para limitar un derecho fundamental según la doctrina del Tribunal Constitucional: “juicio de necesidad”, “juicio de proporcionalidad”, y “juicio de idoneidad”.

En cuanto a la información recibida por el trabajador al respecto, estima suficiente la comunicación que se realizó con posterioridad a su instalación, si bien, como ya se ha comentado anteriormente, no se especificó los medios utilizados.

Fallo.

Por lo tanto, se desestima el recurso interpuesto por el trabajador (ya había habido sentencia previa de 25 de marzo de 2011 dictada por el Juzgado de lo Social nº 28 de Barcelona), si bien no es firme y cabe Recurso de Casación para la Unificación de la Doctrina ante el Tribunal Supremo, Sala de lo Social.

¿Qué datos puede recabar un GPS?

Pues usando la Resolución de Archivo de la AEPD del E-742/2008 podemos decir que los siguientes:

Hora de arranque de la furgoneta;

Hora de aparcamiento de la furgoneta;

Puntos de paso y paradas de la furgoneta;

Velocidad de las furgonetas, tanto máxima como media;

Consumos del vehículo, siendo esto una simulación en función de los kilómetros recorridos;

Horas de funcionamiento de la furgoneta y horas en las que está parada;

Kilómetros realizados por jornada;

Desviación de horas de la furgoneta en función de un horario de trabajo configurable.

¿Qué dice la AEPD sobre la instalación de GPS para estas finalidades?

Informe 0193-2008:

“El artículo 20.3 del Estatuto de los Trabajadores (ET) dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

 “No obstante, la existencia de esta legitimación no excluye el cumplimiento del deber de informar, por parte del empresario previsto en el artículo 5.1 de la Ley Orgánica”.

 “En consecuencia, la actuación descrita en la consulta, genera el correspondiente fichero y en todo caso, será obligatoria su inscripción en el Registro General de Protección de Datos, conforme a lo establecido en el artículo 26 de la Ley Orgánica.”

¿Hay que informar al trabajador a efectos laborales o no de la instalación del GPS?

Según la Resolución de Archivo del E-2778-2010 de la AEPD:

“En el presente caso, ha quedado acreditado que LOGISLAND había informado al denunciante que los vehículos destinados a la realización de su función profesional y comerciales contaban con un sistema de localización y seguridad mediante GPS al haber aportado escrito en el que figura el recibí suscrito por el correspondiente denunciante.

 Es cierto que la información sobre el hecho de que los vehículos están dotados de GPS no implica necesariamente que se informe de su utilización a efectos de un posible despido.”

¿Cuál es la postura del Supervisor Europeo de Protección de Datos?

Aunque no hay un Dictamen específico sobre GPS (o bien yo no lo he encontrado) podemos hacernos una idea en el siguiente informe sobre la

la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican el Reglamento (CEE) n o 3821/85 del Consejo, relativo al aparato de control en el sector de los transportes por carretera, y el Reglamento (CE) n o 561/2006 del Parlamento Europeo y del Consejo:

“El uso de aparatos de control en el transporte por carretera implica el tratamiento de datos personales relativos a los conductores profesionales. Una gran parte del tratamiento está basado en el uso de aparatos de geolocalización y medios de comunicación a distancia, que son tecnologías que tienen un impacto considerable sobre la intimidad y la protección de datos de las personas”.

 “….aclarar los objetivos específicos y legítimos para los que se llevará a cabo una geolocalización constante. Debería especificarse claramente en la propuesta que no se permite la instalación y el uso de dispositivos con el fin directo y principal de permitir a los empresarios controlar a distancia y en tiempo real las acciones y el paradero de sus empleados”.

¿Y el Grupo del Artículo 29 de las Autoridades Europeas de Protección de Datos?

En el Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes se analiza la utilización de los GPS, pero más bien, como dice el nombre del informe en “dispositivos móviles”. No obstante, recomiendo también su lectura.

Conclusión:

Hay tratamiento de datos y no es necesario el consentimiento. Más dudas me ofrece la información a “efectos laborales”,  y posiblemente haya que distinguir entre dos situaciones diferentes:

–      El vehículo de la empresa lleva instalado un GPS desde el inicio de la prestación laboral del trabajador. Se tendría que informar de la citada instalación.

–      Se instala con la finalidad descrita en los hechos de la sentencia. Bastaría la información sin especificar la instalación, ya que de lo contrario perdería su finalidad.

Fuente: Privacidad Lógica

Publicado el 16 de octubre de 2012 por 

Sanción de 6.000€ a UGT por incumplir las medidas de seguridad y del deber de secreto al compartir un fichero con datos de afiliados a través de eMule

La FEDERACIÓN ESTATAL DE INDUSTRIAS AFINES DE LA UNIÓN GENERAL DE TRABAJADORES, fué denunciado ante la AEPD por el AYUNTAMIENTO DE OURENSE motivado por la entrada de un correo electrónico de la Policía Local de Ourense que manifiesta que ha encontrado y descargado un archivo de un usuario de Internet, en un entorno compartido en Emule, siendo el nombre del archivo “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”.

Se verifica dicho archivo y consta lo siguiente:

– Se verifica que se encuentra un fichero denominado “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”, el cual contiene una base de datos en formato de Microsoft Access.
– Se verifica que al abrir la base de datos se encuentra un formulario en cuyo encabezamiento figura el texto: “F.I.A.- U.G.T. BIERZO”, obteniéndose impresión de pantalla del mismo.
– Desde dicho formulario se selecciona el botón “Afiliado” verificando que se encuentran 1.295 registros y que entre los mismos se encuentra uno a nombre de D.D.D.D. en el que el campo “CARGO SINDICAL” toma el valor “ E.E.E.”, obteniéndose impresión de dicho registro.

– Desde dicho formulario se seleccionan también los botones “Lista Afiliados”, “Lista Bajas” obteniéndose impresión de pantalla en cada caso, verificando que en el primer caso el número de registros existentes es de 1.187 y en el segundo 1.594; desde el mismo formulario y desde el botón “Informes” se obtiene impresión del informe “Listado General de Afiliados”.

– Se verifica que la base de datos se compone de diferentes tablas entre las que se encuentran las denominadas “AFILIADO” y “EMPRESAS”, verificando que la primera se compone de 2.890 registros y obteniendo impresión de pantalla resultado de ordenar los registros por el campo “FECHA ACTUALIZACION” en la que se obtiene información como una de las últimas fechas el 25/10/06, de uno de los afiliados, por fallecimiento accidente. Se verifica que en la primera tabla se encuentra un registro a nombre de D. D.D.D., obteniéndose impresión del contenido íntegro del registro. Se obtiene también
impresión parcial del contenido de la tabla “EMPRESAS” verificando que se compone de 126 registros.

Según se pudo comprobar ese archivo“corresponde a una aplicación informática utilizada para la gestión del fichero denominado “BASE DE DATOS AFILIADOS BIERZO”, en el que se recogen los datos personales de los afiliados a FIA-UGT en la comarca del Bierzo”. Y que el usuario autorizado a acceder al mismo en el sindicato también podía hacer una copia en la que podía seguir trabajando en la misma.

Esa copia la instaló en un portátil en su domicilio con el resultado de que la misma fue compartida con otros usuarios a través del eMule, “aunque no está probado que el mismo lo hiciera conscientemente y con la intención de dar a conocer o difundir este archivo, ni que con ello pretendiera perjudicar a los afiliados o a la organización sindical FIA-UGT de la comarca del Bierzo…>>

Hay que tener presentes en este caso, de que además de los datos personales incluidos en el archivo, los mismos venían asociados a su condición de asociados al sindicato.

El artículo 7 de la LOPD regula como datos especialmente protegidos:
“1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado…”

El artículo 9 de la LOPD, dispone:
“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Para completar el sistema de protección en lo que a la seguridad afecta, el artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros “…que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Los artículos 23 al 26 del citado RD 994/1999 concretaba las medidas de seguridad de nivel alto, como el cifrado de los datos para la distribución de los soportes y su transmisión a través de redes de telecomunicaciones, el registro de accesos y la conservación de copias de respaldo y recuperación en lugar diferente en que se encuentren los equipos informáticos que tratan los datos.

FIA-UGT estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que FIA-UGT incumplió esta obligación.

Dado que ha existido vulneración del “principio de seguridad de los datos”, se considera que FIA-UGT ha incurrido en la infracción grave descrita.

Por tanto, el Director de la AEPD ha impuesto una sanción por infracción del artículo 9.1 de la LOPD, tipificada como grave, con una multa de 6.000€ (seis mil euros).

Denuncian a dos celadores en Tenerife por un posible delito contra la intimidad al acceder de forma indebida a la historia clínica de la denunciante

Sorprendente la noticia de la que en el día de hoy se hace eco el diario digital Canariasahora, según este medio el tribunal de instrucción nº 2 de Santa Cruz de Tenerife ha imputado a dos celadores del Hospital Universitario Nuestra Señora de la Candelaria por un posible delito contra la intimidad.

Según consta en la denuncia, los imputados accedieron en numerosas ocasiones  a los datos clínicos de la querellante, quién solicitó una auditoría al centro hospitalario para poner comprobar estos hechos. El informe de la auditoría ha sido contundente, al poner negro sobre blanco, que los imputados tenían “pleno conocimiento de qué días debía acudir la víctima al centro médico, qué tratamiento se le suministraba, el historial de informes o el historial de radiología, sin que ninguno de los dos tuviera consentimiento por escrito para ello”, según reza en el propio diario digital.

La denuncia también salpica a los responsables del centro hospitalario, el Servicio Canario de Salud, como responsables subsidiarios, por lo que la gerente del centro ha tenido que prestar declaración. La gerente ha reconocido que no todos los trabajadores del centro pueden acceder a la historia clínica, y que en su caso, necesitaría el consentimiento expreso de los titulares de la misma, hecho que los denunciantes niegan haber realizado.

Para entender mejor el alcance de esta noticia y todo lo que ello pudiera implicar debemos tener presente algunos aspectos jurídicos de la historia clínica. Las cuestiones relativas al concepto de “historia clínica”, su régimen de acceso, propiedad, contenido, conservación, custodia, y el deber de secreto en relación con la misma, se encuentran recogidas, con carácter general, en la Ley 41/2002, de 14 noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

La “historia clínica” incorpora el conjunto de datos sanitarios referentes a una determinada persona física, agrupados en un único expediente con vocación de uniformidad. En dicho historial podrán contenerse desde el cuadro médico o la sintomatología con la que acude una persona a un centro sanitario, hasta los episodios asistenciales a los que ha sido sometido, pasando por el tratamiento y diagnóstico del paciente.

La definición legal de la “historia clínica” se infiere de lo dispuesto por el artículo 15 de la Ley 41/2002, de 14 de noviembre, entendiéndose como tal el conjunto de información relativa al estado de salud del paciente “que comprenderá al menos:

a) La documentación relativa a la hoja clínico-estadística.

b) La autorización de ingreso.

c) El informe de urgencia.

d) La anamnesis y la exploración física.

e) La evolución.

f) Las órdenes médicas.

g) La hoja de interconsulta.

h) Los informes de exploraciones complementarias.

i) El consentimiento informado.

j) El informe de anestesia.

k) El informe de quirófano o de registro del parto.

l) El informe de anatomía patológica.

m) La evolución y planificación de cuidados de enfermería.

n) La aplicación terapéutica de enfermería.

ñ) El gráfico de constantes.

o) El informe clínico de alta”.

Por otro lado, hay que tener presente que el acceso a la historia clínica está limitado y regulado por la citada ley, así como por la LOPD, Ley 15/1999 de 13 de diciembre sobre el derecho a la protección de datos personales. La LOPD establece que el nivel de seguridad de la historia clínica, al contener datos de salud, se establecerá como nivel alto de seguridad. Y entre las medidas de seguridad especiales que este tipo de fichero conlleva están los siguientes según establece el RD 1720/2007, de 21 de diciembre:

Para ficheros automatizados:

Artículo 103. Registro de accesos.
1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.
4. El período mínimo de conservación de los datos registrados será de dos años.
5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:
a) Que el responsable del fichero o del tratamiento sea una persona física.
b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.
La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad.

Para ficheros no automatizados:

Artículo 113. Acceso a la documentación.
1. El acceso a la documentación se limitará exclusivamente al personal autorizado.
2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.
3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

Y muy interesante es tener presente el informe jurídico emitido por la Agencia de Protección de Datos de la Comunidad de Madrid bajo el título: “¿Qué acceso tiene el personal auxiliar a las Historias Clínicas, en formato papel, a los efectos de la localización, traslado y entrega de dicha documentación clínica a los médicos?” accesible en el siguiente enlace:

http://www.madrid.org/cs/Satellite?blobcol=urldata&blobheader=application%2Fpdf&blobheadername1=Content-disposition&blobheadername2=cadena&blobheadervalue1=filename%3Dconsultas+web+colegios-+31.pdf&blobheadervalue2=language%3Des%26site%3DPortalAPDCM&blobkey=id&blobtable=MungoBlobs&blobwhere=1311006521309&ssbinary=true

Fuente: http://www.canariasahora.com/noticia/237911/

El Ayuntamiento de San Cristóbal de La Laguna deniega el derecho de acceso a una ciudadana a su historia clínica

La AEPD ha abierto un procedimiento de tutela de derecho ante el M.I. Ayuntamiento de San Cristóbal de La Laguna por la reclamación presentada por una ciudadana que había acudido a la Unidad de la Mujer de los Servicios Sociales del Ayuntamiento de San Cristóbal de la Laguna. La denunciante había solicitado “copia de la información clínica correspondiente a la asistencia psicológica de la que fue beneficiaria en el Centro Asesor de la Mujer (…)”, sin que su solicitud haya recibido la contestación legalmente establecida.

La AEPD trasladó al Ayuntamiento de La Laguna dicha reclamación, y éste argumentó que la no entrega de la copia de la información clínica, se debía a:

Manifiesta que los informes solicitados por la reclamante, entre abril de 2008 y diciembre de 2009, fueron generados por la asociación que en esas fechas gestionaba el servicio, obrando notas manuscritas de las distintas profesionales que la atendieron en ese momento pertenecientes a la mencionada asociación y que en su mayor parte son ininteligibles, sin que éstas puedan tener mayor consideración ya que no se encuentran debidamente suscritas.

El artículo 15 de la LOPD dispone que:

“1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.”

El artículo 27 del RLOPD regula el derecho de acceso en los siguientes términos:

1. El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se está realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

2. En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento. No obstante, cuando razones de especial complejidad lo justifiquen, el responsable del fichero podrá solicitar del afectado la especificación de los ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo efecto deberá facilitarle una realización una relación de todos ellos.
3. El derecho de acceso es independiente del que otorgan a los afectados las leyes especiales y en particular la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.”

El artículo 29 del RLOPD dispone lo siguiente en relación al plazo en que el responsable del fichero debe resolver la solicitud de acceso:
“1. El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición de acceso, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.

El derecho de acceso en relación con la historia clínica se regula específicamente en el artículo 18 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica , cuyo tenor literal expresa:

“1. El paciente tiene derecho de acceso, con las reservas señaladas en el apartado 3 de este artículo, a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella. Los centros sanitarios regularán el procedimiento que garantice la observancia de estos derechos.

Queda acreditado que la reclamante ejercitó su derecho de acceso ante la entidad demandada, y que, trascurrido el plazo establecido conforme a las normas antes señaladas, su solicitud no obtuvo la respuesta legalmente exigible.

Por tanto, ante estos hechos la AEPD ESTIMA la reclamación formulada por la denunciante e insta a AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la reclamante certificación en la que se facilite el acceso completo a sus datos, o deniegue motivada y fundamentadamente el acceso solicitado, pudiendo incurrir en su defecto en una de las infracciones previstas en el artículo 44 de la LOPD.

Estadística del blog

  • 110,257 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: