//
Archivos

cumplimiento lopd

Esta etiqueta está asociada a 6 entradas

¿Qué se entiende por ficheros o tratamientos en los que de forma incidental o accesoria se contengan datos especialmente protegidos?

En relación con el nivel de medidas de seguridad aplicable, sería necesario atender al tenor literal del artículo 81.5 del RLOPD que establece que “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

  • Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
  • Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan
  • Aquellos datos sin guardar relación con su finalidad.”

 A este respecto, se debería tener en cuenta que la excepción prevista en el último inciso del artículo 81.5 se refiere a cuando los datos especialmente protegidos sean incluidos por el propio afectado a la hora al presentar documentación en la que por propia iniciativa desee aportar este tipo de datos, sin que su tratamiento tenga relación con la finalidad establecida por el responsable del fichero.

Fuente: AGPD

Anuncios

¿Es legal incluir a un menor en un fichero de morosos?

El menor de 18 años y mayor de 14 puede constar en un fichero de morosos siempre y cuando se den las condiciones generales para la inclusión de sus datos personales, es decir: debe existir una obligación incumplida, para poder introducir la deuda en un fichero de información de solvencia deben cumplirse por parte del acreedor dos requisitos previos, que también están previstos en el Real Decreto 1720/2007, de 21 de diciembre, como son la existencia previa de la deuda cierta, vencida y exigible, así como haber requerido previamente el pago de la misma a quien corresponda en su caso el cumplimiento de la obligación (deudor).

A los efectos de la minoría de edad conviene recordar la distinción existente entre capacidad jurídica que. es la que posee toda persona por el hecho de serlo y, capacidad de obrar que es la idoneidad para realizar eficazmente actos jurídicos, o en otros términos, la capacidad para ejercitar derechos o asumir obligaciones, que puede ser plena o encontrarse limitada si el sujeto no puede realizar con plena eficacia actos o negocio jurídicos o algún tipo de ellos, encontrándose entre esas limitaciones de la capacidad de obrar la minoría de edad, de ahí que sean sus representantes legales los que actúen por él.

Ahora bien, el hecho de que una persona sea menor de edad no significa, por ejemplo, que no pueda tener bienes y que como titular de dichos bienes pueda incurrir en una serie de responsabilidades y generar deudas de las que responder.  (ver SAN 10-2-2010).

Aunque se sea menor de edad, si se es mayor de 14 años puede prestar su consentimiento sin necesidad de asistencia por lo que puede ser deudor e incurrir en la condición de moroso.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf;jsessionid=745D0872DB6098BA7E1DB88DADDACE32?idPregunta=747

Soluciones de seguridad para la empresa: legislación y cumplimiento

La seguridad de la información desde el punto de vista legal ha cobrado gran importancia para las empresas y las organizaciones, con la LOPD como normativa de referencia.

Ya en los años 70, cuando la tecnología informática era incipiente y comenzaba a llegar al ámbito empresarial a través de los grandes sistemas informáticos, los legisladores comenzaron a intuir los importantes cambios que se avecinaban en el tratamiento de la información. Paralelamente, en Europa se dieron los primeros pasos en el ámbito legislativo en relación con el tránsito de personas a través de las distintas fronteras de los países que componen la unión, debido a la necesidad de compartir información relativa a personas, lo que lógicamente incluía datos de carácter personal. Aquellas iniciativas constituyeron el germen de la actual normativa de protección de datos de carácter personal, entre otras.

En las últimas dos décadas se ha desarrollado diversa legislación en torno a la seguridad de la información, los sistemas de telecomunicaciones o la firma electrónica y todas ellas enfocadas al tratamiento y la seguridad la información. En la actualidad, la legislación relativa a las tecnologías de la información y su tratamiento se han convertido en parte fundamental de la actividad de las organizaciones y las empresas, que están obligadas al cumplimiento de las normas que les aplican en función de su actividad o de los datos que tratan.

En el caso de España, la legislación en torno a las tecnologías de la información, cobraron gran relevancia con la popularización y difusión de la Ley Orgánica de Protección de Datos (LOPD), una normativa que ha hecho las veces de catalizador, acercando dicha legislación a las empresas y las organizaciones. Hoy día, ninguna organización realiza su actividad sin tener en cuenta los aspectos legales o la legislación que aplique en función de su actividad o del tipo de información que trate.

El cumplimiento de la legislación se ha convertido en una prioridad para las organizaciones y las empresas, sobre todo en materia de protección de datos de carácter personal, debido a las sanciones asociadas al incumplimiento de esta normativa y de otras. En el caso de la normativa de protección de datos de carácter personal (LOPD) o la ley de servicios de la sociedad de la información (LSSI), es la Agencia Española de Protección Datos la encargada de velar por el cumplimiento de dichas normas, actuando de oficio, es decir, por iniciativa propia en el ámbito de sus competencias o cuando se produce una denuncia.

Lo cierto es que cumplir con la normativa aplicable, sobre todo en el caso de aquella relativa a protección de datos personales no es una tarea sencilla, que requiere y a la vez es muy recomendable, contar con asesoramiento profesional. En la actualidad, existen multitud de empresas que proveen servicios de asesoramiento legal en normativa relativa a tecnologías de la información, siendo las más comunes, aquellas dedicadas al cumplimiento de la normativa de protección de datos personales.

Debido a la velocidad a la que evolucionan tanto las tecnologías como los tratamientos de la información, los legisladores tienen un importante reto ante sí para mantener la legislación actualizada y acorde con el escenario en el que aplica dicha legislación. Por otro lado, el cumplimiento con la legislación se ha convertido en uno de los sectores dentro de la industria tecnológica que más ha crecido en los últimos años, puesto que la demanda de servicios profesionales en este ámbito ha aumentado de forma significativa.

Desde INTECO-CERT queremos recordar que la seguridad de la información, no solamente hace referencia a aspectos técnicos u organizativos, sino también legales. El incumplimiento de las normas o la falta de medidas de seguridad, pueden derivar en incidentes con importantes consecuencias económicas, a través de sanciones. Por otro lado, es importante destacar que la seguridad es un proceso continuo, que requiere una revisión y un mantenimiento constante, tanto en los aspectos técnicos, como organizativos y legales.

Fuente: Inteco

En la Concejalía de Urbanismo de Santa Cruz de Tenerife no aparecen dos ordenadores.

Esta mañana he leído en la edición digital de Canariasahora.es esta noticia. Al parecer después de las pasadas elecciones municipales del 2011, de realizó un inventario de equipos informáticos y el resultado del mismo no coincidió con el inventario anterior, faltando un ordenador portátil y un equipo de sobremesa.

Independientemente de los posibles tintes electorales de esta desaparición misteriosa, lo cierto es que desde el punto de vista de la normativa de protección de datos personales nos encontramos ante un incidente de seguridad en toda regla con todas sus derivadas.

No solo no aparecen los mismos, sino que no se tiene noción de su posible ubicación, ni si han sido sustraidos, trasladados o reubicados en algún otro sitio. Tampoco se puede saber quién lo hizo ni por qué.

Además de la desaparición de los equipos, de los cuales se desconoce que información y/o datos contenían, algunos discos duros aparecieron sin datos, lo que viene a resaltar la gravedad de este hecho.

Si nos encontráramos en una situación similar, ¿cómo deberíamos actuar? ¿qué obligaciones nos viene impuesta en la normativa española de protección de datos personales?.

Es evidente que si nos encontráramos en una situación similar a la comentada, la forma de actuar variará dependiendo del papel que ocupemos en esa organización o entidad responsable del fichero. En función del papel a ocupar, los pasos podrían ser:

1.- Como usuario del sistema de información. 

Como usuario nuestra primera obligación es informar del incidente de seguridad. La organización habrá tenido que dotar de un protocolo de actuación para notificación de incidencia, en función de las instrucción ahí recibidas, debemos redactar el pertinente informe de incidencia y comunicarlo a la dirección y/o al responsable de seguridad señalado en dicho protocolo. En el mismo, habrá que incluir algunos campos como fecha en que se produjo la incidencia, fecha en la tuvimos conocimiento del incidente, tipología del incidente, explicación detallada del mismo, así como las posibles consecuencias del mismo.

2.- Como responsable de seguridad.

Una vez que hemos tenido recibido la notificación de la incidencia habrá que actuar en consecuencia, según el procedimiento que la organización tenga establecido. Resulta evidente que una situación como la comentada, deberá ser remitida inmediatamente a la dirección; indicando en el informe el posible impacto en la seguridad de la información (grado de afectación a la confidencialidad, disponibilidad e integridad de la misma); medidas de seguridad encaminadas a la recuperación de los datos; medidas para restablecer el pleno funcionamiento del sistema informático de la organización; pasos dados para identificar al responsable o posibles responsables del incidente; etc..

3.- Como responsable del fichero.

La entidad titular del sistema de información que gestiona los ficheros que contienen los datos personales también deberá asumir su cuota de protagonismo en la gestión del incidente de seguridad. Esa cuota de protagonismo va desde la iniciación de los protocolos de incidencia; la supervisión de los mismos; las actuaciones legales previstas; la dotación de medios materiales y económicos para que el responsable de seguridad junto con el responsable o administrador de sistemas pueda dejar en funcionamiento nuevamente el sistema informático dando lugar a la aplicación del plan de contingencias y continuidad del negocio esbozado en el plan de riesgos; etc..

Una vez analizada la incidencia y puesto en funcionamiento el resto del sistema, bien por la localización de los equipos y datos o bien por su sustitución, se podrá dar por cerrada el parte de incidencia. Además, deberá contener las posibles medidas de seguridad y recomendaciones futuras a fin de evitar que vuelva a darse una situación como esta.

http://www.canariasahora.es/noticia/217363/

Prevención de blanqueo de capitales y protección de datos personales.

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su artículo 10.4, establece que será posible la cesión de datos de carácter personal sin contar con el consentimiento del interesado cuando “la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente”.

En este sentido la entrada en vigor de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, recoge la obligación de los sujetos enumerados en su artículo 2, de establecer requisitos de control y conservación de documentos en operación que excedan de 15.000 euros, en una o varias operaciones siempre que el pago se efectúe en metálico, cheques bancarios al portador o pagos electrónicos que tengan la consideración de pago al portador; identificando a cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones, realizando una comprobación previa, mediante documentos fehacientes.

Quedan fuera del sometimiento a las obligaciones, como sujetos obligados, los abogados, en relación al entablar relaciones de negocio, comunciación por indicio y colaboración con el SEPBLAC, con respecto a la información que éstos tengan de sus clientes al defenderles en procedimientos judiciales.

La Ley incorpora a nuestro sistema normativo la Directiva 2005/60/CE del Parlamento europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo, desarrollada por la Directiva 2006/70/CE de la Comisión, de 1 de agosto de 2006, por la que se establecen disposiciones de aplicación de la citada Directiva, en lo relativo a la definición de personas del medió político y a los criterio técnicos aplicables en los procedimientos simplificados de diligencia debida con respecto al cliente así como en lo que atañe a la exención por razones de actividad financiera ocasional o muy limitada.

La citada Ley establece como obligaciones dentro del control citado, la identificación formal de la persona física o jurídica que realice la operación, la realización de un examen de comportamientos y operaciones complejas que puedan tener relación con el blanqueo de capitales o financiación del terrorismo, la obligatoriedad de comunicar cualquier indicio al Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), estableciendo la prohibición de revelación de dichas comunicaciones a terceras personas; en la medida de los posible se abstendrán de ejecutar dichas operaciones, así mismo se establece la obligación de conservar dicha información diez años.

En lo relativo a la conservación, tratamiento y comunicación de datos de carácter personal, el artículo 32 somete el cumplimiento de la norma a la Ley Orgánica 15/1999,d e 13 de diciembre, de protección de datos de carácter personal y normativa de desarrollo. Especificando que no se requerirá, como es lógico, el consentimiento del interesado para el tratamiento de los datos necesarios para el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales, ni para las obligadas comunicaciones el SEPBLAC, estableciéndose una excepción legal al deber de información recogido en el artículo 5 de la citada Ley Orgánica. Existiendo una prohibición expresa de revelar a los propios clientes o terceros que su informaciçon ha sido comunicada al SEPBLAC o que la misma esta siendo objeto de exámen .

Como se desprende del espíritu de la Ley 10/2010, la excepción al deber de información se amplia al ejercicio de derechos de acceso, rectificación, cancelación y oposición por el afectado, debiendo los sujetos obligados, informarle en los términos del artículo 32.3.

La Ley otorga la condición de encargados de tratamiento a los órganos centralizados de prevención, y eleva al nivel alto de seguridad las medidas aplicables a los ficheros que contengan datos de prevención de blanqueo de capitales y financiación del terrorismo.

La Ley, así mismo se centra en el intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude, cuando concurran circunstancias excepcionales que se determinen reglamentariamente, pudiendo la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, acordar dicho intercambio de información, referida a determinado tipo de operaciones distintas o a clientes sujetos a determinadas circunstancias, siempre que se encuentren en la categorías de sujetos obligados, previstas en el artículo 2 de la Ley.

La Ley establece, además, la obligación de los sujetos obligados de establecer medidas en las operaciones con personas que desempeñen o hayan desempeñado responsabilidades públicas, tanto en otros Estados miembro de la Unión Europea, como en terceros países, así como sus damiliares y personas con la consideraciíon de allegados.

Los sujetos obligados podrán intercambiar información relativa a las operaciones con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o financiación del terrorismo cuando las características y operativa del supuesto, implique la posibilidad de que una vez rechazada por el sujeto obligado, al operación pueda llevarse a cavo, con otro sujeto obligado, con idéntico desarrollo u operativa.

Los sujetos obligados y las autoridades judiciales, policiales y administrativas competentes podrán consultar la información contenida en los ficheros siempre que el acceso fuese necesario para el cumplimento de las obligaciones recogidas en la Ley. Dicho acceso deberá quedar limitado a los órganos de control interno y las unidades técnicas de control creadas en el ámbito de los sujetos obligados.

En relación a la conservación de documentos, el artículo 25 de la Ley establece que los sujetos obligados conservarán durante un periodo de diez años la documentación en que se formalice el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales y financiación del terrorismo, así como el lo referente a la investigación o análisis, en materia de posibles casos infractores, especificando el artículo que documentos se deben conservar. Dicha conservación se realizar, preferiblemente, en soportes ópticos, magnéticos o electrónicos, que garanticen su integridad, la correcta lectura, la imposibilidad de manipulación y su adecuada conservación y localización.

De los citados preceptos de la Ley 10/2010, deducimos la obligatoriedad por parte de los sujetos obligados, de creación e inscripción del correspondiente Fichero de datos de carácter personal ante la Agencia Española de Protección de Datos; quedando clara su finalidad (la prevención del blanqueo de capitales y financiación del terrorismo), el Responsable del Fichero y encargado de tratamiento, así como las medidas aplicables (nivel alto de seguridad) y los destinatarios de cesiones y comunicaciones, así como los propios usuarios del sujeto obligado que podrán acceder a la información con la correspondiente obligatoriedad de llevar los necesarios registros de acceso a la información, así como los registros destinados al inventariado de los soportes que la contienen.

En relación al registro de personas con responsabilidad pública, se faculta a los sujetos obligados, para la creación de gficheros, aún cuando no se mantengan con ellos relaciones negociales, pudiendo los sujetos obligados, recabar toda la información necesaria sin necesidad de tener el previo consentimiento, sólo pudiendo ser utilizada la información para el cumpliento de las medidas previstas en la Ley 10/2010.

Fuente:http://www.dlcarballo.com/2012/02/prevencion-blanqueo-capitales-y-lopd/

Sólo el 17,8% de las empresas españolas toma medidas que garanticen la seguridad de los datos de carácter personal

Sólo el 17,8% de las compañías españolas adopta medidas técnicas y organizativas que garantizan la seguridad de los datos de carácter personal que manejan y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Ésta es la principal conclusión que se extrae del  estudio elaborado por Sigma Data Security Consulting sobre cumplimiento de la Ley Orgánica de Protección de Datos (en adelante, LOPD).

El hecho de que cerca de un tercio de las organizaciones en España tire a la basura ficheros con datos de carácter personal, a pesar de que la LOPD castigue este comportamiento con multas de hasta 600.000 euros, pone de relieve el escaso grado de compromiso sobre la protección de datos, y la destrucción de documentos de las empresas españolas.

Según el mencionado informe, del 19,30% de  las empresas que manifiesta haber  inscrito sus ficheros en el Registro General de Protección de datos (tal y como se recoge en el artículo 26.1 de la LOPD) sólo un 17,8% toma medidas para salvaguardar su confidencialidad e integridad, tal y como establece el artículo 9 de la misma norma.  Esto significa que todavía hoy un cierto número de empresas, conscientes de que tienen obligaciones en materia de protección de datos, se limitan a cumplir la “más visible” de éstas sin realizar un verdadero trabajo de adaptación con los peligros y sanciones que ello conlleva.

El incumplimiento de la ley supone una vulneración de los derechos de los clientes, empleados y proveedores, con los riegos legales que conlleva, según ha expuesto Héctor Barak, Director General de Fellowes Iberia.

Además, “puede resultar peligroso para la propia empresa, ya que son numerosos los casos de espionaje que se han dado entre compañías que han  accedido a información confidencial mediante CD´s, documentos y dispositivos de almacenamiento masivo que no han sido destruidos correctamente”.

Asimismo, el hallazgo de documentos confidenciales en la vía pública también revela la escasa concienciación que existe entre las empresas de la importancia de una política de destrucción de papel, en la que se especifique cómo y qué documentos deben ser destruidos.

 Fuente: EFE y http://www.cibersur.com

Estadística del blog

  • 113,060 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: