//
Archivos

protección de datos

Esta etiqueta está asociada a 106 entradas

France Telecom es sancionada con 20.000€ por incluir los datos de un cliente en la guía de abonados sin consentimiento del abonado.

La operadora de telefonía France Telecom ha sido sancionada por al AEPD por incluir los datos de un cliente que dió de alta una línea con ellos en junio del 2010 y que en marzo del 2011 fue conocedor de que sus datos habían sido incluidos en una guía de abonados sin su consentimiento.

Entre los hechos probados mas relevantes, destacamos los siguientes:

1.- Que la denunciante contrató con Ya.com una línea fija, y que en marzo del 2011 tuvo conocimiento de que su teléfono, nombre y apellidos y dirección aparecían publicadas en una guía de abonados en internet sin que hubiera prestado su consentimiento para ello.

2.- Que el 18 de abril se realiza una captura de pantalla de la página web http.//blancas.guias118111.es. En la misma consta el nombre, dos apellidos y domicilio de la denunciante y su número de teléfono.

3.- El número de teléfono de la denunciada le fué asignado por France Telecom.

4.- Se solicitó a la operadora que aportara el documento que acreditara el consentimiento de la denunciante para la cesión de datos a la CMT, hasta en dos ocasiones, sin obtener respuesta documentada.

5.- La denunciante envió un correo electrónico a France Telecom solicitando que acreditaran en qué momento habían obtenido el consentimiento para la cesión. France Telecom le informó que agilizaría el trámite y con posterioridad le requieren que cumpla con el procedimiento de cancelación y que envíe un escrito con copia del DNI.

Entro los fundamentos de derecho queremos destacar los siguientes:

La Ley Orgánica 15/1999 de Protección de datos de carácter personal establece en su artículo 28.4 que “los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica”.

El examen de esa normativa nos obliga a hacer referencia, en primer término, a la Ley 32/2003 General de Telecomunicaciones, de 3 de noviembre. El artículo 34 del citado texto legal, bajo la rúbrica “protección de los datos de carácter personal”, establece:

“Sin perjuicio de lo previsto en el apartado 6 del artículo 4 y en el segundo párrafo del artículo anterior, así como en la restante normativa específica aplicable, los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público, deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legislación vigente”.

El artículo 38.6 de la Ley 32/2003 dispone que “La elaboración y comercialización de guías de abonados a los servicios de comunicaciones electrónicas y la prestación de servicios de información sobre ellos se realizará en régimen de libre competencia, garantizándose, en todo caso, a los abonados el derecho a la protección de sus datos personales, incluyendo el de no figurar en dichas guías I.I.I.” 

El artículo 67 del Real Decreto, bajo la rúbrica “Guías de servicios de comunicaciones electrónicas disponibles al público”, establece en el apartado 2:
“Para que los datos correspondientes a un abonado a los que se refiere el artículo 30.4 sean incluidos por primera vez en algún tipo de guía o facilitados a otra entidad para su inclusión en ella o para la prestación de servicios de información o de consulta sobre ella, será preciso el consentimiento expreso de dicho abonado. 

A estos efectos, se entenderá que existe consentimiento expreso de un abonado cuando el operador le solicite su consentimiento para la inclusión de tales datos, con indicación expresa de cuáles serán éstos, el modo en que serán incluidos en la guía y su finalidad, y este le responda dando su aceptación. También se producirá cuando este se dirija por escrito a su operador solicitándole que sus datos figuren en la guía.

Si el abonado no hubiera dado su consentimiento expreso, se entenderá que no acepta que se publiquen en la guía correspondiente sus datos”.

A la luz de lo expuesto en los párrafos precedente estimamos que la conducta anteriormente descrita, imputable a FRANCE TELECOM ESPAÑA, S.A., vulnera el artículo 11.1 de la LOPD. El artículo 44.3.k) de la citada Ley Orgánica tipifica como infracción grave “La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave”.

Ante estos hechos el Director de la AEPD ha resuelto IMPONER a la entidad FRANCE TELECOM ESPAÑA S.A., por una infracción del artículo 11.1 de la LOPD, tipificada como infracción grave en el artículo 44.3.k) de dicha norma, una multa de 20.000 € (veinte mil euros) de conformidad con lo establecido en los artículos 45.5 y 45.2 de la citada Ley Orgánica.

Fuente: AGPD

FACUA denuncia a la Agencia Estatal de Seguridad Aérea ante Protección de Datos

Por ceder sin autorización a una empresa de encuestas datos de una usuaria que denunció a una aerolínea.

FACUA-Consumidores en Acción ha denunciado a la Agencia Estatal de Seguridad Aérea (AESA) ante la Agencia Española de Protección de Datos (AEPD).

La empresa Autopress Marketing SL está realizando una encuesta sobre la satisfacción de los usuarios con la calidad de la atención ofrecida por la AESA al dirigirse al organismo para solicitar información o presentar reclamaciones contra compañías aéreas.

Aunque la AESA debe obtener el consentimiento de los usuarios para ceder sus datos a Autopress, una socia de FACUA ha recibido un correo electrónico de la empresa sin que previamente la Agencia le hubiese pedido autorización.

C.S.R., de Málaga, recibió el 4 de noviembre un correo desde la dirección cuestionario@anuato.com, que comenzaba con este texto: “Nos ponemos en contacto con usted desde Autopress Marketing, S.L., tras el envío por parte de la Agencia Estatal de Seguridad Aérea (AESA) de un correo electrónico solicitándole su colaboración, como usuario de sus servicios, para un estudio de satisfaccion de la propia AESA”.

Pero la usuaria, que se había dirigido hace meses a la AESA para presentar una reclamación contra la aerolínea Helitt, no había recibido correo alguno de la Agencia sobre la citada encuesta.

Un día después del primer correo, C.S.R. recibió otro, esta vez remitido por la AESA, en el que le pedía permiso para ceder sus datos a Autopress para participar en el sondeo, cuando en realidad ya lo había hecho.

“Entenderemos su disposición a colaborar en dicho estudio si en el plazo de una semana desde la fecha de envío de este escrito, no nos comunica su negativa”, advierte la Agencia en su correo.

Pide a la AEPD que investigue si se han cedido datos de otros usuarios

FACUA ha pedido a Protección de Datos que investigue si la AESA también ha cedido los datos de otros usuarios sin su consentimiento, práctica que vulnera la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En su artículo 11, la Ley plantea que “los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.

La asociación también se ha dirigido a la AESA, a la que ha requerido que verifique el origen del error que le ha llevado a cometer esta irregularidad y evalúe sus dimensiones así como las medidas para subsanarla.

Fuente: Facua

Las Autoridades Europeas de Protección de Datos concluyen su investigación sobre la nueva política de privacidad de Google

Reclaman a Google que informe de una forma más clara a sus usuarios y le piden que ofrezca un mayor control sobre la combinación de datos entre sus numerosos servicios.

Solicitan a la empresa que modifique las herramientas que emplea para evitar una recogida excesiva de datos.

Las Autoridades europeas de protección de datos han publicado sus conclusiones respecto de la nueva política de privacidad implementada por Google el pasado mes de marzo, tras meses de investigación liderada por la Autoridad francesa de protección de datos (CNIL).

Tras analizar las respuestas y la documentación proporcionada por Google, las Autoridades concluyen que Google no proporciona suficiente información a los usuarios sobre sus operaciones de tratamiento de datos. Asimismo, considera que Google no ofrece al usuario un control sobre el modo en que sus datos se combinan entre los diferentes servicios de Google.

Por ello, las Autoridades europeas requieren a Google que ofrezca una información más clara y completa sobre los datos que se recogen y las distintas finalidades de cada una de las múltiples operaciones de tratamiento de datos que lleva a cabo. En relación con la combinación de datos entre servicios, las autoridades emplazan a Google a que refuerce el consentimiento para las combinaciones que se basan en la autorización de los usuarios y a que ofrezca mejores posibilidades para que los usuarios puedan oponerse al tratamiento de sus datos en los casos en que las operaciones de tratamiento no precisan consentimiento.

Las Autoridades Europeas han remitido estas recomendaciones a Google para darle la oportunidad de mejorar su nueva política de privacidad, y esperan que Google tome medidas eficaces para cumplir rápidamente con estas recomendaciones.

Nueva política de privacidad

El pasado 24 de enero Google anunció que modificaría su política de privacidad y sus condiciones de uso para la mayoría de sus servicios a partir del 1 de marzo de 2012. Ante las numerosas dudas que estos cambios planteaban, el Grupo de Autoridades de Protección de Datos de la UE encomendó a la Autoridad francesa (CNIL) que dirigiera la investigación sobre esta nueva política de privacidad.

En este contexto, se enviaron dos cuestionarios sucesivos a Google. La empresa contestó a estos cuestionarios, pero varias de las respuestas resultaron incompletas o poco precisas. En concreto, Google no contestó suficientemente a cuestiones clave como la descripción de sus operaciones de tratamiento de datos personales o la lista detallada de las más de 60 políticas de privacidad específicas que se han sustituido por esta nueva política general.

Fuente: Agpd

La instalación de un GPS en el vehículo de la empresa sin conocimiento del trabajador no vulnera su intimidad.

Así lo ha dictaminado la Sala de lo Social del Tribunal Superior de Justicia de Cataluña en su Sentencia de 5 de marzo de 2012.

Los hechos.

Una empresa, debido a los comentarios de empleados y encargados en relación a que un trabajador no cumplía su jornada laboral, decide instalar un GPS en el vehículo de la empresa que utiliza así como contratar un detective privado.

Con posterioridad, le envía una carta en que le recuerda que debe cumplir con las obligaciones del puesto de trabajo así como que en virtud del artículo 20.3 del Estatuto de los Trabajadores, el empresario puede adoptar las medidas oportunas de vigilancia y control para verificar el cumplimiento de esas obligaciones, si bien no se menciona la instalación del GPS, y obviamente, menos aún que se haya contratado un detective.

Dos meses después, y en base a la información recogida en el GPS, el empresario decide despedir al trabajador por la “supuesta  comisión de una falta de transgresión de la buena fe contractual y abuso de confianza en el desempeño del trabajo”.

Los fundamentos de derecho.

El trabajador alega la vulneración por parte de la empresa de los siguientes artículos de la LOPD: 6 (consentimiento); y 5.1 (derecho de información); y que por tanto se ha producido una recogida de datos de manera fraudulenta (4.7).

El Tribunal considera que el derecho a la intimidad no es absoluto y que “hay que tener en cuenta el poder de dirección del empresario, imprescindible para la buena marcha de la organización productiva (organización que refleja otros derechos reconocidos constitucionalmente en los artículos 33 y 38 CE ) y reconocido expresamente en el artículo 20 ET , atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales. Mas esa facultad ha de producirse en todo caso, como es lógico, dentro del debido respecto a la dignidad del trabajador, como expresamente nos lo recuerda igualmente la normativa laboral – artículos 4.2.c ) y 20.3 ET .”

Asimismo, el sistema utilizado, la implantación del GPS, es proporcional a la finalidad perseguida, que no es otra que “averiguar si cumplía su jornada laboral y si la actividad que durante la misma realizaba coincida o no con los partes de trabajo que facilitaba a la empresa”.

En este sentido, el sistema instalado cumple con los tres “juicios” para limitar un derecho fundamental según la doctrina del Tribunal Constitucional: “juicio de necesidad”, “juicio de proporcionalidad”, y “juicio de idoneidad”.

En cuanto a la información recibida por el trabajador al respecto, estima suficiente la comunicación que se realizó con posterioridad a su instalación, si bien, como ya se ha comentado anteriormente, no se especificó los medios utilizados.

Fallo.

Por lo tanto, se desestima el recurso interpuesto por el trabajador (ya había habido sentencia previa de 25 de marzo de 2011 dictada por el Juzgado de lo Social nº 28 de Barcelona), si bien no es firme y cabe Recurso de Casación para la Unificación de la Doctrina ante el Tribunal Supremo, Sala de lo Social.

¿Qué datos puede recabar un GPS?

Pues usando la Resolución de Archivo de la AEPD del E-742/2008 podemos decir que los siguientes:

Hora de arranque de la furgoneta;

Hora de aparcamiento de la furgoneta;

Puntos de paso y paradas de la furgoneta;

Velocidad de las furgonetas, tanto máxima como media;

Consumos del vehículo, siendo esto una simulación en función de los kilómetros recorridos;

Horas de funcionamiento de la furgoneta y horas en las que está parada;

Kilómetros realizados por jornada;

Desviación de horas de la furgoneta en función de un horario de trabajo configurable.

¿Qué dice la AEPD sobre la instalación de GPS para estas finalidades?

Informe 0193-2008:

“El artículo 20.3 del Estatuto de los Trabajadores (ET) dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

 “No obstante, la existencia de esta legitimación no excluye el cumplimiento del deber de informar, por parte del empresario previsto en el artículo 5.1 de la Ley Orgánica”.

 “En consecuencia, la actuación descrita en la consulta, genera el correspondiente fichero y en todo caso, será obligatoria su inscripción en el Registro General de Protección de Datos, conforme a lo establecido en el artículo 26 de la Ley Orgánica.”

¿Hay que informar al trabajador a efectos laborales o no de la instalación del GPS?

Según la Resolución de Archivo del E-2778-2010 de la AEPD:

“En el presente caso, ha quedado acreditado que LOGISLAND había informado al denunciante que los vehículos destinados a la realización de su función profesional y comerciales contaban con un sistema de localización y seguridad mediante GPS al haber aportado escrito en el que figura el recibí suscrito por el correspondiente denunciante.

 Es cierto que la información sobre el hecho de que los vehículos están dotados de GPS no implica necesariamente que se informe de su utilización a efectos de un posible despido.”

¿Cuál es la postura del Supervisor Europeo de Protección de Datos?

Aunque no hay un Dictamen específico sobre GPS (o bien yo no lo he encontrado) podemos hacernos una idea en el siguiente informe sobre la

la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican el Reglamento (CEE) n o 3821/85 del Consejo, relativo al aparato de control en el sector de los transportes por carretera, y el Reglamento (CE) n o 561/2006 del Parlamento Europeo y del Consejo:

“El uso de aparatos de control en el transporte por carretera implica el tratamiento de datos personales relativos a los conductores profesionales. Una gran parte del tratamiento está basado en el uso de aparatos de geolocalización y medios de comunicación a distancia, que son tecnologías que tienen un impacto considerable sobre la intimidad y la protección de datos de las personas”.

 “….aclarar los objetivos específicos y legítimos para los que se llevará a cabo una geolocalización constante. Debería especificarse claramente en la propuesta que no se permite la instalación y el uso de dispositivos con el fin directo y principal de permitir a los empresarios controlar a distancia y en tiempo real las acciones y el paradero de sus empleados”.

¿Y el Grupo del Artículo 29 de las Autoridades Europeas de Protección de Datos?

En el Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes se analiza la utilización de los GPS, pero más bien, como dice el nombre del informe en “dispositivos móviles”. No obstante, recomiendo también su lectura.

Conclusión:

Hay tratamiento de datos y no es necesario el consentimiento. Más dudas me ofrece la información a “efectos laborales”,  y posiblemente haya que distinguir entre dos situaciones diferentes:

–      El vehículo de la empresa lleva instalado un GPS desde el inicio de la prestación laboral del trabajador. Se tendría que informar de la citada instalación.

–      Se instala con la finalidad descrita en los hechos de la sentencia. Bastaría la información sin especificar la instalación, ya que de lo contrario perdería su finalidad.

Fuente: Privacidad Lógica

Publicado el 16 de octubre de 2012 por 

«Adecuación a la LSSI – V: contratación por vía electrónica»

La LSSI regula las obligaciones previas y posteriores a la celebración de contratos electrónicos. Además equipara la validez y eficacia de los contratos que así se pueden realizar, a los realizados en papel, siendo también admisibles en un juicio.


INTRODUCCIÓN

Según la Ley de Servicios de la Sociedad de la Información o LSSI un contrato celebrado por vía electrónica o contrato electrónico es aquel «en el que la oferta y la aceptación se transmiten por medios electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones». Los contratos electrónicos se rigen además de por la LSSI, por el Código Civil y de Comercio y por las normas civiles y mercantiles sobre contratos, y en particular las de protección de consumidores y usuarios protección de consumidores y usuarios.

¿A QUÉ CONTRATOS AFECTA?

Algunos ejemplos de contratos que se pueden realizar por vía electrónica son:

  • compra-venta de bienes a través de internet
  • contratación de servicios
  • aceptación de políticas de privacidad o condiciones de uso de redes sociales

Pero la contratación electrónica no es exclusiva de contratos relativos a contratación de bienes y servicios tecnológicos, por el contrario se refiere a contratos celebrados a través de medios electrónicos. Conviene destacar que en el caso particular de los servicios financieros aplica también la Ley 22/2007 sobre comercialización a distancia de servicios financieros a consumidores.

Sin embargo, no todos los contratos se pueden realizar por vía electrónica. La LSSI excluye los contratos relativos al derecho de familia y sucesiones (adopciones, separaciones, testamentos, herencias,…) y aquellos en los que para su validez sea necesario, según establezca la legislación específica, la forma documental pública o la intervención de notarios, registradores de la propiedad (por ej.: compra-venta de viviendas) u otras autoridades.

VALIDEZ Y EFICACIA

La LSSI equipara la validez y eficacia de los contratos electrónicos a los celebrados de forma escrita, siendo también admisibles en un juicio ante los Tribunales, como prueba documental. Además, obliga al que ofrece el contrato a facilitar toda la información al que compra o acepta servicios antes de la celebración del contrato, y a asegurarse de confirmar la recepción de la aceptación al consumidor.

OBLIGACIONES PREVIAS Y POSTERIORES A LA CONTRATACIÓN

Antes de iniciarse la contratación, el prestador de servicios debe poner a disposición del destinatario las condiciones generales del contrato de forma que puedan ser almacenadas y reproducidas.

Además la ley establece que el prestador, antes de iniciar la contratación, debe también informar al destinatario de forma «clara, comprensible e inequívoca» sobre:

  • los trámites o pasos a seguir para celebrar el contrato
  • si el documento generado, el contrato, va a ser almacenado por el prestador y si va ser accesible
  • los medios técnicos que se ponen a disposición del consumidor para identificar y corregir errores en los datos
  • la lengua o lenguas en que se podrá formalizar el contrato

Una vez celebrado el contrato la LSSI obliga al oferente a confirmar recepción de la aceptación, bien por medio de un acuse de recibo por correo electrónico u otro medio de comunicación equivalente, bien a través de un medio equivalente al utilizado en la contratación, siempre que pueda ser archivada por el destinatario y se pueda tener constancia de ello.

Existen dos excepciones a estas obligaciones:

  • que ambos contratantes así lo acuerden si ninguno de ellos es consumidor
  • que el contrato se haya celebrado exclusivamente mediante correo electrónico, si esto no se hace para eludir estas obligaciones

LUGAR DE CELEBRACIÓN

Se considera que los contratos electrónicos están realizados en la residencia habitual del consumidor. En el caso de contratos entre profesionales o empresarios, si no hay un pacto entre ellos, en el lugar en el que esté establecido el prestador de servicios.

PARA MÁS INFORMACIÓN:

Fuente: Inteco

Un usuario británico logra ser indemnizado por haber sufrido ‘spam’ telefónico

La empresa acordó pagarle unos 240 euros por su tiempo y el uso de la electricidad, y unos 30 euros más por los costes judiciales.

 

Un ciudadano británico ha logrado ser indemnizado tras presentar una demanda antre un tribunal por haber sufrido spam telefónico.

Según publica la BBCRichard Herman, de Middlesex (Inglaterra), se sentía acosado por las llamadas y mensajes de texto de compañías que proponían ayudarlo a reclamar una indemnización por accidente o exigir la devolución de un seguro (conocido como PPI) que le habían vendido de manera irregular.

Sin embargo, este usuario no sólo no había sufrido ningún accidente, sino que tampoco había adquirido este tipo de seguros. Por ende, estaba registrado en un servicio que debía impedir la entrada de llamadas de ventas no deseadas.

Tras acudir a los tribunales, su caso fue resuelto antes de llegar a juicio. AAC, la empresa que había llamado a Herman en nombre de PPI Claimline, le pagó 312 dólares americanos (unos 240 euros) por su tiempo y el uso de la electricidad, y 40 dólares más (unos 30 euros) por los costes judiciales.

A pesar de que la compañía aseguraba no haber registrado el número de teléfono de Herman en su base de datos, éste había grabado las llamadas telefónicas y se decidió acudir a un tribunal británico.

Según la empresa, Herman visitó una web que requería del marcado o desmarcado de una casilla que otorga el visto bueno a ser contactado por otras compañías, pero el indemnizado insiste en que no lo hizo.

Fuente: Facua

Protección de datos sanciona a una comunidad de vecinos por exponer datos de un inquilino en el tablón de anuncios de la comunidad

La AEPD ha impuesto una sanción por vulnerar el deber de secreto a una comunidad de vecinos que publicó los datos personales de una inquilina como deuda de las cuotas de comunidad en el tablón de anuncios a la entrada de la urbanización.

Según consta en el procedimiento sancionador se presentó la denuncia por una inquilina por una infracción de la normativa de protección de datos por parte de la Comunidad de Propietarios en la que la misma reside a titulo de arrendataria. Denuncia que la citada Comunidad expuso en un tablón cerrado con llave, durante el mes de mayo de 2011, situado sobre un muro en el acceso y entrada a la urbanización donde se encuentra ubicada la vivienda, una relación de impagados, entra las que figura su nombre y apellidos asociados a una deuda de la vivienda letra I, sin ser la propietaria de la vivienda.

El procedimiento deja constancia de los siguientes hechos probados:

1.- La existencia de dos notas de MOROSIDAD en el tablón de anuncios de la comunidad.

2.- En la nota interna que se ha hecho entrega a todos y cada uno de los propietarios, se incluye la deuda de la vivienda afectada y se asocia dicha deuda a la inquilina, apareciendo su nombre y apellidos.

3.- La inquilina presenta el correspondiente contrato de arrendamiento de la finca.

El artículo 10 de la LOPD, establece que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.

Dado el contenido del citado artículo 10 de la LOPD, ha de entenderse que el mismo tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Así el Tribunal Superior de Justicia de Madrid ha declarado en su Sentencia n. 361, de 19/07/2001: “El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.

El deber de secreto profesional que incumbe a los responsables de los ficheros y a quienes intervienen en cualquier fase del tratamiento, recogido en el artículo 10 de la LOPD, comporta que el responsable de los datos almacenados o tratados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la protección de datos a que se refiere la citada Sentencia del Tribunal Constitucional 292/2000, y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.

En el presente supuesto, la Comunidad es la responsable de los ficheros que albergan los datos de los propietarios, en este caso también de algunos inquilinos obligados al abono de gastos a la Comunidad según consta en los contratos aportados. Respecto a que al no ser propietaria de la vivienda su dato se vio expuesto en el tablón de la comunidad, se debe indicar que en el contrato que la denunciante firmó se
desprende que es ella la que debe satisfacer las cuotas comunitarias, y en el tablón no se la identificaba como propietaria sino como inquilina, lo que no quiere decir que no esté sujeta a las potestades que la Comunidad ostenta para liquidar los gastos adeudados a la misma.

Los datos recabados por la propia Comunidad de Propietarios no necesitarán el consentimiento de los copropietarios y en este caso inquilino-denunciante para llevar a cabo su labor principal, ya que existe una relación copropietarios/Comunidad, en base a que esta ha de asegurar el cumplimiento de las obligaciones legales, debiendo asumir todas y cada una de las obligaciones reflejadas, bien por los estatutos de la propia Comunidad, bien por Ley.

No obstante, la posibilidad de tratar estos datos, ha de llevarse a cabo bajo el principio del secreto de los mismos, de modo que se convierte en obligatoria la observancia de lo dispuesto en el artículo 10 de la LOPD.

No existe en el presente caso causa que justifique la exposición en tablón de anuncios de los datos como deudor de la denunciante, con independencia de que su condición estatutaria a nivel de Comunidad sea la de inquilina, pues la que actuó fue la Comunidad, exigiendo el abono de las cuotas a las que parece ser la misma se obligó con la arrendataria. En tal sentido que parece ser era conocido por la Comunidad es indiferente en este caso que no fuera propietaria, pues carecía en el caso examinado de apoyo legal para exponer sus datos que pudieron ser conocidos por los terceros que transitaran por dicho espacio, fuesen amigos, parientes, vecino u otros inquilinos.

En el presente caso, con la no observancia del sentido del artículo 10 de la LOPD a la vista de la Ley de Propiedad Horizontal, al exponer el listado de deudores al público, no solo a los propietarios, sino a terceros que pudieran transitar por dicha zona, se acredita que la Comunidad ha infringido la normativa de Protección de Datos. La Ley no habilita esta comunicación, por no cumplirse los requisitos establecidos en la LPH, ni constar la
prestación de consentimiento por parte del denunciante. Ello supone incurrir en la conducta tipificada como grave en el artículo 44.3.d) de la LOPD que determina como tal:” La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.

Por ello, se ha impuesto a esta COMUNIDAD DE VECINOS una sanción por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.000€.

 

¿Cuál es la madurez de los servicios Cloud?

Imagen_post_madurez_cloudPues si hacemos caso a CSA e ISACA habría que decir que se encuentran en su más tierna infancia. Efectivamente esta ha sido la conclusión del estudio que han realizado ambas organizaciones y en el que he tenido el placer de colaborar. Sobre la base de una encuesta en la que han participado 252 organizaciones de 48 países (principalmente en Norteamérica – 48% – y Europa – 23% – y usuarios de SaaS – 62%) se ha concluido que, considerando cuatro niveles de madurez (infancia, crecimiento, madurez y declive), los servicios de infraestructura y plataforma como servicio (IaaS y PaaS, respectivamente) se encuentran en la etapa inicial y los de software como servicio (SaaS) están entrando en la fase de crecimiento.

Y, aunque la conclusión es que el mercado piensa que los servicios en la nube están cumpliendo las expectativas estratégicas y de servicio y que los problemas serán superados, no es menos cierto que se identifican ciertas preocupaciones:

  • Que la computación en la nube sea considerada un aspecto técnico (una nueva versión del típico outsourcing) y que, como está pasando, sus riesgos sean analizados como riesgos tecnológicos más que como riesgos de negocio, puesto que este tratamiento limitará el potencial la nube.
  • Las dificultades existentes para especificar los riesgos técnicos y de negocio en los contratos.
  • La longevidad del proveedor
  • La comprensión de las responsabilidades del propietario de datos y del custodio
  • Los aspectos legales
  • El lock-in en los contratos
  • La disposición de estrategias de salida en caso de querer volver a un tratamiento in house o ir a otro proveedor
  • Las regulaciones gubernamentales porque sigan una evolución muy diferente al mercado
  • Y, en definitiva, que los usuarios necesitan confiar en los servicios por lo que los mecanismos de garantía y de transparencia deben mejorar

Frente a esto, los participantes en el estudio también han identificado los aspectos que están siendo adecuadamente contemplados por la computación en la nube:

  • La disponibilidad
  • La continuidad del negocio
  • La recuperación en caso de desastres
  • El rendimiento del servicio
  • Los cortes en el servicio
  • La resolución de problemas

Finalmente, destacar que los factores que inciden en la toma de decisiones son, por orden de importancia:

  1. Los facilitadores de negocio (principalmente, fiabilidad y disponibilidad)
  2. Las consideraciones financieras (especialmente, la reducción de costes)
  3. La reducción de la huella en el medio

Como se puede ver, un estudio que nos ayuda a entender la situación actual, que dibuja un futuro esperanzados para la computación en la nube y que nos ayuda a identificar los retos para los próximos años… veremos si somos capaces de superarlos…

Fuente: Inteco

10/10/2012, por Antonio Ramos García

Protección de datos sanciona RENFE por no instalar los carteles de zona videovigilada y captar imágenes de espacios públicos

Según se hace constar en el procedimiento sancionador, la Guardia Civil levantó varias actas en las que se ponían de manifiesto las posibles infracciones a la normativa de protección de datos en materia de videovigilancia observadas en las estaciones de la red de Cercanías de Olivares-Villanueva del Ariscal, Sanlúcar la Mayor y Benacazón, todas en Sevilla.

En dos de esas actas  se constata la inexistencia de carteles informativos de señalización de zona videovigilada, existiendo cámaras de seguridad.

 Entre los principales hechos probados, según el procedimiento sancionador, destacamos:

 1.- La existencia del registro del fichero de VIDEOVIGILANCIA.

2.- La instalación de un sistema de videovigilancia de las estaciones que es gestionado por RENFE OPERADORA, que es la entidad que gestiona de forma integral el servicio.

3.- La finalidad de la instalación del sistema es la seguridad de los bienes e instalaciones de cada estación y de los viajeros, evitar robos o vandalismo y proteger el patrimonio.

4.- De la información aportada se desprende que las cámaras exteriores situadas en las zonas de parking y dado que disponen de zoom y movimiento, pueden recoger imágenes de espacios públicos con acceso indiferenciado a personas y vehículos, permitiendo identificar matriculas de vehículos, personas que se bajen de dichos vehículos y personas que accedan a pie a las estaciones, con independencia de que dichos espacios sean o no titularidad de ADIF, gestionados en cuanto a cámaras por RENFE OPERADORA.

5.- Respecto de la información facilitada a terceros sobre la existencia de sistemas de videovigilancia, se han aportado fotos de espacios interiores de la estación, pasillos de una serie de carteles informativos ubicados en diferentes partes de las estaciones. El contenido de los carteles alude a la LOPD y se remite a RENFE-OPERADORA para el ejercicio de los derechos.

6.- RENFE OPERADORA tiene antecedentes de haber cometido infracciones anteriores en materia de protección de Datos.

7.- La denunciada no ha acreditado a lo largo del procedimiento la retirada del sistema de videovigilancia implantado en los parkings que captan espacio público.

 La cuestión a dilucidar se centra en las cámaras que captan imágenes de toda la extensión de los parkings.

Resultaría admisible un sistema que captara, como se ha expuesto, la parte mínima imprescindible para la seguridad del acceso o de la vigilancia de los muros o partes por las que se puede acceder a la estación, con la advertencia de información correspondiente.

Este no es el caso. Se trata de captación de imágenes de un lugar de libre acceso de propiedad de ADIF, gestionado por RENFE, responsable del fichero.

En el presente supuesto, las imágenes se captan identificando y haciendo identificables a las personas y vehículos en los espacios destinados a parkings y en los espacios destinados al acceso a la estación. Los vehículos que se aparcan son propiedad de particulares, el acceso es libre y no permanecen cerrados en ningún momento, sin que existan restricciones para su uso o para el tránsito a pie.

 Junto a ello, y a mayor abundamiento, hay tres elementos a resaltar:

a) Dichos aparcamientos no consta que sean vigilados físicamente por personal alguno de RENFE.

b) Con independencia de su titularidad RENFE no es responsable de la seguridad en el mismo (por ejemplo, las responsabilidades por robo o daños en vehículos que implican estacionar en dicho espacio no parece que puedan ser imputadas según la Ley 40/2002 de aparcamientos privados) ni sobre ella recae un deber concreto de custodia de los mismos, ya que es gratuito.

c) La ley 39/2003 del Sector Ferroviario al definir dominio público, no se refiere a los parkings aledaños a las estaciones y no se definen a los mismos como pertenecientes al dominio público (artículos 12 y 13).

Por tanto, se trata de un espacio público sobre el que la entidad no ostenta especiales deberes de protección, debiendo encargarse de la misma con carácter general las Fuerzas y Cuerpos de Seguridad del Estado.

En el supuesto presente, las videocámaras realizan tratamientos de datos de carácter personal excesivos captando imágenes de la vía pública y viandantes que circulen por los parkings.

La infracción del artículo 6.1 de la LOPD se tipifica originariamente como incluida en el artículo 44.3.b) de la LOPD. En tal sentido supone “Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.”

Teniendo en cuenta estos aspectos, que se han desarrollado a lo lardo del procedimiento sancionador PS/00166/2012, el Director de la AEPD ha resuelto: IMPONER a la entidad RENFE OPERADORA, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 40.001 €, de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.

FUENTE: AGPD

La LOPD obliga a Tráfico a cancelar los antecedentes de multas a los tres años

MILES DE CONDUCTORES PODRÁN RECUPERAR SUS PUNTOS PERDIDOS GRACIAS A UN RECURSO DE LA AEA

La Dirección General de Tráfico ha aceptado los razonamientos jurídicos planteados por AUTOMOVILISTAS EUROPEOS ASOCIADOS (AEA) en defensa de uno de sus miembros y ha ordenado -en una reciente resolución firmada por su titular Dña. María Seguí Gómez- que conforme con lo establecido en la Ley de Seguridad Vial y la Ley de Protección de Datos se cancelen sus antecedentes desfavorables como conductor, recuperando con ello su saldo de puntos, “una vez transcurrido el plazo reglamentario desde su cumplimiento o prescripción”.

Es la primera vez -según informa la organización de defensa del conductor afectado, AUTOMOVILISTAS EUROPEOS ASOCIADOS (AEA)-, que la DGT dicta una resolución en este sentido y cambia radicalmente de criterio respecto del que venía manteniendo hasta ahora en relación a la cancelación de los antecedentes desfavorables de los conductores por la pérdida de puntos”.

Como se recordará, hace ahora un año AEA denunció la situación de miles de conductores a los que se les estaba privando injustamente de su derecho a conducir porque, en contra de lo establecido en la Ley de Seguridad Vial, Tráfico no había limpiado de sus registros los antecedentes desfavorables caducados, que seguían actuando negativamente en el cálculo del saldo de puntos.

Hasta ahora, la DGT venía manteniendo el criterio de que la pérdida de puntos no constituía una sanción y por tanto no le afectaba la cancelación de antecedentes prevista en el apartado 4 del Art. 93 de la LSV que indica: “Las anotaciones se cancelarán de oficio, a efectos de antecedentes, una vez transcurridos tres años desde su total cumplimiento o prescripción”.

Para la DGT la pérdida de puntos era “una mochilita”

Es más, para no dotar a la pérdida parcial de puntos de ninguna garantía jurídica y así poder mantener sin límite de tiempo en los registros unos antecedentes desfavorables de los conductores el anterior director general de Tráfico Pere Navarro la definió como “una mochilita que acompañaba a determinadas sanciones graves y muy graves”.

Para el Tribunal Supremo es una sanción

Sin embargo, el Tribunal Supremo -en respuesta al recurso planteado por AEA contra el permiso por puntos- aclaró la cuestión y en su sentencia del 4 de junio de 2009 reconoció sin ninguna duda la naturaleza sancionadora de la pérdida de puntos y, por tanto, la obligación de respetar las necesarias garantías jurídicas que rodean a cualquier sanción, entre ellas la obligación de cancelar de oficio, a efectos de antecedentes, la anotación de las sanciones y detracción de puntos en el Registro de Conductores e Infractores una vez transcurridos tres años desde su total cumplimiento o prescripción.

A causa de la “mochilita” veinte mil conductores fueron privados injustamente de su carnet

Según estimaciones de AEA, en los últimos tres años más de 200.000 multas con detracción de puntos debían haberse cancelado del registro de Conductores e Infractores, porque había transcurrido con exceso el plazo legalmente establecido para ello.

Y ese mantenimiento ilegal de antecedentes en los registros de Tráfico –señala el presidente de AEA, Mario Arnaldo- ha podido determinar que a unos 20.000 conductores se les haya privado injustamente de su carnet de conducir al haberles contabilizado sanciones que por Ley debían estar borradas”.

Por eso desde AEA celebramos el cambio de criterio de la Dirección General de Tráfico -continúa Arnaldo- y no sólo porque supone el restablecimiento de unos derechos individuales que venían siendo conculcados, sino porque la propia Administración se estaba colocando en un peligroso polvorín jurídico que estaba a punto de estallar y que estaba afectando también al trabajo desarrollado por la Fiscalía, ya que muchos procedimientos penales incoados por la comisión de presuntos delitos de seguridad vial se tenían que archivar por una deficiente tramitación administrativa en la declaración de la pérdida de vigencia del permiso de conducir”.

Los errores administrativos provocan el archivo de un importante número de delitos

En efecto, según se recoge en el último informe elaborado por el Fiscal de Sala Coordinador de Seguridad Vial durante los últimos cuatro años se han tramitado cerca de 160.000 procedimientos judiciales por el delito de conducción sin carnet, y se destaca que se ha producido “un porcentaje de archivos importante en el delito de conducir tras haber perdido la vigencia del permiso por pérdida total de puntos” por problemas en la notificación de las resoluciones declarando la pérdida del derecho a conducir a través de edictos.

Sin embargo –concluye Arnaldo- muchos de ellos se han tenido que archivar porque la DGT estaba manteniendo en sus registros antecedentes desfavorables de pérdida de puntos que por Ley debían estar cancelados”.

Cancelación de antecedentes

En efecto, el artículo 93 de la Ley de Seguridad Vial establece que las sanciones y la detracción de puntos deberán comunicarse para su anotación en el Registro de Conductores e Infractores de la DGT en el plazo de 15 días naturales siguientes a su firmeza en vía administrativa y se cancelarán de oficio, a efectos de antecedentes, una vez transcurridos tres años desde su total cumplimiento o prescripción.

¿Cómo sabemos si Tráfico ha cancelado correctamente los antecedentes desfavorables?

Para verificar que Tráfico ha cancelado correctamente los antecedentes desfavorables AEA recomienda pedir cuanto antes un informe detallado en la Jefatura provincial de Tráfico, o bien a través de internet si se dispone de firma digital, y comprobar que no existen anotadas sanciones anteriores al 15 de setiembre de 2009.

En caso de que conste alguna, solicite la inmediata cancelación, ya que en las notificaciones que manda la DGT para comunicar que se ha agotado el saldo de puntos y que se inicia el procedimiento para declarar la pérdida de vigencia del permiso de conducir no figura la fecha en que las sanciones graves o muy graves dieron lugar a la detracción de puntos, con lo que el ciudadano no puede saber si esa multa debe estar, o no, cancelada de acuerdo con la Ley.

Con el fin de facilitar la cancelación de antecedentes desfavorables en el Registro, AEA ha dispuesto un servicio de asesoramiento jurídico gratuito para socios en el Tlf. 91.559.49.40, con el fin de analizar cada caso concreto y solicitar la cancelación que proceda antes de que se inicie la declaración de pérdida de vigencia del carnet.

Los principales datos del Permiso por Puntos

Desde el 1 de julio de 2006 al 1 de julio de 2012, 4,9 millones de conductores (18,8%) han sido sancionados por cometer alguna infracción que detrae puntos. De ellos 1,4 millones han cometido dos o más. En total se han tramitado 7,2 millones de expedientes sancionadores que han supuesto la detracción de 22 millones de puntos.

La principal causa de pérdida de puntos ha sido el exceso de velocidad (46%), seguida por no utilizar el cinturón de seguridad (13%) y por conducir hablando por el telefóno móvil (9%). El alcohol ha estado presente en el 9% de los casos de detracción de puntos.

En cuanto a los cursos de recuperación del carnet o de puntos, a fecha del 1/7/2012 han asistido a alguno de ellos 234.326 conductores.

Respecto a los conductores que han perdido su derecho a conducir por haber perdido la totalidad de los puntos, Tráfico ha declarado la pérdida de vigencia de los permisos a 142.015 conductores, lo que representa el 0,5 % del censo de conductores. De ellos, 2.462 conductores lo han perdido en dos ocasiones.

FUENTE: http://www.aeaclub.com/0114_cancelacion/

Estadística del blog

  • 165.825 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: