lunes, 12 de octubre de 2015

¿Sabes si cumples con la normativa?


La herramienta Evalúa es un programa sencillo, anónimo y gratuito que permite a las empresas y administraciones autoevaluar el grado de cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) en los tratamientos que realizan.

Evalúa ofrece respuestas a las dudas a las que se habitualmente se enfrentan quienes manejan datos personales mediante un test basado en preguntas con respuesta múltiple. Rellenarlo ocupa entre 45 y 60 minutos y, una vez finalizado, genera un informe con indicaciones y recursos que orientan en el cumplimiento de la legislación. 

El programa consta de dos niveles: el primero es un test básico para conocer el nivel de cumplimiento de la normativa de protección de datos y el segundo permite verificar si se cumplen las medidas de seguridad exigibles en cada caso. 

El primer test está pensado para el usuario que toma contacto por vez primera con la LOPD y busca saber si cumple la normativa de forma sencilla. El segundo ha sido diseñado para el usuario que tiene un mayor conocimiento de la legislación y quiere verificar el grado de cumplimiento de las medidas de seguridad recogidas en la normativa. 

Además de ser anónimo y gratuito, Evalúa es un test versátil, ya que permite abandonar la sesión sin tener que empezar de nuevo el test, y personalizado, puesto que el informe utiliza las respuestas facilitadas para emitir recomendaciones en cada caso concreto.

(Fuente: AEPD)

viernes, 30 de enero de 2015

¿Tu empresa cumple ya con la LOPD?

La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, más conocida como LOPD, es la norma que desde el 14 de enero del 2000 tiene como objetivo regular en España el régimen jurídico aplicable al tratamiento de los denominados “datos de carácter personal” , estableciendo las condiciones en que se deben recoger, tratar y ceder este tipo de datos para no perjudicar con ello a los derechos fundamentales y libertades públicas de los ciudadanos.

Cualquier tipo datos de carácter personal que maneja cualquier empresa (clientes y trabajadores, principalmente) están sujetos a la LOPD. Esto provoca que la totalidad de las empresas deban cumplir con los requisitos que marca esta ley en relación a la toma, tipo, uso y eliminación de dichos datos.

En la sociedad actual donde todo está informatizado, que exista una normativa que regule aquellos aspectos que protejan la privacidad del ciudadano es un requisito básico. Todos queremos que los datos que disponen de nosotros empresas y administraciones públicas se usen de forma correcta. Pero en muchas ocasiones, las empresas desconocen el marco jurídico que regula la privacidad, incurriendo en riesgos innecesarios que pueden crear una imagen muy negativa del negocio, además de sanciones considerables por parte del órgano competente, la Agencia Española de Protección de Datos (AGPD).

Con una simple auditoría de la actividad de la empresa, viendo el tipo de datos recopila, qué hace con ellos, como los utiliza, donde los guarda, etc. se pueden crear las bases para que su negocio tenga la seguridad jurídica de hacer las cosas bien, evitando un desprestigios y multas desproporcionadas, que van desde los 900 a los 600.000 euros.

¿A qué datos se aplica o no la LOPD? 

La LOPD será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado en los siguientes supuestos:

- Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

- Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

- Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Por su parte, existen determinados datos de carácter personal que, a pesar de hacer referencia a una persona física determinada, se encuentran excluidos del ámbito de aplicación de la Lopd. Dichos datos son los siguientes:

- Datos referidos a personas jurídicas y las personas de contacto. La Lopd no se aplica a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

- Datos relativos a empresarios individuales. La Lopd no se aplica a los tratamientos de datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.

- Datos relativos a personas fallecidas. La Lopd no se aplica a los tratamientos de datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos

¿Por qué es tan importante cumplir la LOPD? 

Algunas razones de peso:

- Porque tus clientes son el activo más importante de tu empresa y debes protegerlos.
- Por la credibilidad que ganarás.
- Por la mejora continua que supone en la seguridad de la información.
- Por evitar fugas y pérdidas de información (trabajadores, colaboradores, etc.).
- Por la mejora que supone en la gestión de tu empresa.
- Por normalizar las relaciones con terceros gracias a los contratos que se redactarán.
- Para evitar sanciones de la Agencia Española de Protección de Datos.

Según estudios recientes sólo 2 de cada 10 empresas españolas cumplen con La Ley Orgánica de Protección de Datos, porcentaje pírrico si tenemos en cuenta que dicha ley lleva en circulación más de catorce años y que vulnerarla puede provocar sanciones elevadísimas que en ocasiones y en casos muy graves pueden ascender hasta los 600.000 euros, como mencionamos anteriormente.

Muchas son las razones que esgrimen las empresas que no cumplen con la Ley Orgánica de Protección de Datos. En primer lugar existe el motivo que deriva del desconocimiento. Hay un alto número de empresarios que desconocen la existencia de esta ley orgánica y menos la circunstancia de que están obligados a cumplirla escrupulosamente. En este grupo de desconocedores podemos incluir aquellas empresas que aunque diariamente manejan datos personales (prácticamente todas las empresas, sólo necesitan un proveedor o un empleado) no son conscientes de ello.

Por otra parte hay un segundo grupo que aún sabiendo a lo que se exponen no cumplen con la normativaporque jamás han sido protagonistas de una inspección, ni conocen a nadie que la hayan sufrido. En un tercer grupo destacable de empresas que no tienen la adaptación en regla, se encuentran aquellos negocios que aunque se han preocupado por informarse sobre la protección de datos, al querer adaptarse sin el asesoramiento de profesionales, han incurrido en errores saltándose pasos fundamentales. 

Por ejemplo hay empresas que tienen registrado los ficheros en la AEPD, pero sin embargo no tienen elaborado el documento de seguridad. Estas empresas no son incumplidoras por insumisión ni desconocimiento, sino por cuestiones de tipo técnico. Normalmente estas empresas son de ámbito familiar, con pocos recursos o que aun teniéndolos jerarquizan sus gastos prefiriendo invertir su dinero en otras cuestiones.

Esto hace necesario por parte de todos los agentes que participan en la sociedad la necesidad de animar a las autoridades a realizar actuaciones de concienciación y difusión, ya que no nos olvidemos, estamos hablando de una norma que garantiza derechos fundamentales reconocidos por la Constitución.

(Fuente: muycomputerpro.com)

miércoles, 28 de enero de 2015

La UE permite instalar cámaras en la vivienda reiteradamente dañada para 'cazar' al agresor.

El Alto Tribunal llega a una solución ecuánime: si bien la Directiva sobre Protección de Datos prohíbe la grabación con una cámara de vídeo instalada por una persona en la vivienda familiar y dirigida hacia la vía pública, también hay que tener en cuenta otros artículos de la norma que permiten tratar datos personales sin el consentimiento del interesado "cuando es necesario para satisfacer un interés legítimo del responsable del tratamiento de esos datos".

En concreto, explica el TJUE que la vigilancia mediante videocámara que incluya la grabación y el almacenamiento de datos personales está comprendida en el ámbito de aplicación de la Directiva, puesto que constituye un tratamiento automatizado de esos datos.

De ahí que, explica, grabar lo que otra persona haga en la vía pública no puede considerarse "una actividad exclusivamente personal o doméstica" que se encuentra excepcionada en la Directiva en lo que atañe al tratamiento de datos efectuados por una persona física.

Ahora bien, dicho esto sostiene que el órgano jurisdiccional nacional "debe al mismo tiempo tener en cuenta que las disposiciones de la Directiva permiten valorar el interés legítimo del responsable del tratamiento de los datos en proteger sus bienes, salud y vida, así como los de su familia".

Años de agresiones

En el caso concreto estudiado por el TJUE, un ciudadano checo, ante las continuas agresiones que había sufrido, tanto él como su familia, durante años por parte de un desconocido, decidió instalar en la vivienda familiar un sistema de videocámara que filmaba imágenes de la entrada de la propia vivienda, de la vía pública y de la entrada a la vivienda situada enfrente.

Además, las ventanas de la vivienda habían sido destrozadas en varias ocasiones. Precisamente, una noche un proyectil lanzado con un tirachinas rompió una de las ventanas de la casa y las grabaciones de la cámara de vídeo entregadas a la policía permitieron identificar a dos sospechosos, contra quienes se incoaron procedimientos penales. 

No obstante, uno de ellos cuestionó ante la Agencia checa de protección de datos personales la legalidad del tratamiento de los datos grabados por la videocámara. La Agencia comprobó que se había infringido efectivamente las normas en materia de protección de los datos de carácter personal, y multó al dueño de la vivienda. A este respecto, la Agencia hizo constar, entre otros extremos, que los datos del sospechoso habían sido grabados sin su consentimiento mientras que éste se encontraba en la vía pública, es decir, en aquella parte de la calle situada delante de la vivienda. 

Al conocer en casación del litigio el Tribunal Supremo checo, suspendió el proceso para acudir al Tribunal de Justicia de la UE.

(Fuente: El Economista)

lunes, 26 de enero de 2015

Denunciadas cuatro clínicas, una en Zaragoza, por divulgar datos de mujeres que abortaron.

La Asociación Española de Abogados Cristianos ha presentado una denuncia ante la Agencia Española de Protección de Datos contra varios centros dedicados a la práctica de abortos, uno en Zaragoza, por tirar presuntamente a los contenedores de basura informes de mujeres que habían abortado.

Entre estos centros, ha informado este martes la Asociación en una nota de prensa, se encuentran tres madrileños, la Clínica Dator-Partner Line, la Clínica Ginecológica Callao, la Clínica El Bosque, así como la Clínica AMEC, de Zaragoza.

La organización anuncia que "en los próximos días" se van a interponer también las correspondientes querellas ante las consejerías de Sanidad que tienen convenios con estos centros.

Además de las historias clínicas y la información médica relacionada con las mujeres que abortaron, se encontraron "residuos sanitarios humanos e instrumentales que tienen una normativa de tratamiento muy estricta y que presuntamente se estaba ignorando".

Por este motivo, la Asociación Española de Abogados Cristianos iniciará asimismo las preceptivas denuncias ante la Policía Sanitaria Mortuoria.

"Se trata de un trabajo de recopilación sin precedentes del que se derivarían responsabilidades administrativas, civiles y penales", manifiesta la organización en la nota de prensa.

El trabajo de investigación y recopilación de pruebas ha sido realizado por la asociación La Vida Importa, quien afirma que "altas instancias del Ministerio del Interior tenían conocimiento de estos hechos desde hace meses, sin que hasta ahora se haya llevado a cabo ninguna actuación, por lo que se está estudiando interponer una querella por omisión del deber de perseguir delitos".

En la documentación hallada en los contenedores se encuentran "historias clínicas con nombres, apellidos, dirección, DNI, abortos previos, citaciones, datos de quirófano, revisiones y hasta fotocopias de libros de familia".

La Asociación Española de Abogados Cristianos considera estas infracciones "muy graves" al haber "tirado", presuntamente, en contenedores de basura información sanitaria de carácter "muy sensible", en relación con mujeres a las que se les había practicado abortos en estas clínicas.

Recuerda que el artículo 7 de la Ley Orgánica de Protección de Datos establece que los contenidos sanitarios deberán ser especialmente protegidos por ser "información personal muy sensible", y los artículos 8 y 9 establecen la "responsabilidad de salvaguarda de dichos datos que deben tener dichos centros".

Además de una falta "muy grave" de carácter administrativo, que está sancionada con multas de hasta 600.000 euros, concluye la Asociación, el artículo 199.2 del Código Penal castiga con hasta cuatro años de prisión la divulgación de datos secretos de carácter profesional.

(Fuente: Heraldo de Aragón)

viernes, 23 de enero de 2015

100.000 euros de multa al Cobrador del Frac por sus técnicas de presión a deudores.

Entre las técnicas utilizadas de un modo indebido se encuentra la colocación de carteles en el buzón del deudor y en la puerta de su vivienda, indicando, entre otros datos, el nombre y apellidos del afectado; se constató también la entrega de tarjetas de visita por parte de los cobradores a vecinos y familiares del moroso. La Agencia Española de Protección de Datos ha sancionado estas prácticas por entender que se vulnera el deber de secreto, pues divulgan, de forma indebida, la condición de deudor a terceras personas. El cobrador del frac es, en tiempos de crisis, una figura cotidiana en el día a día. Disfrazados con atuendos llamativos, estos trabajadores tratan de lograr por diversos medios que personas o empresas liquiden las deudas con otros individuos o negocios. Se trata de un oficio conflictivo en el que la línea que marca el derecho a la intimidad del moroso a veces es vulnerada. 

La Agencia Española de Protección de Datos ha impuesto una multa de 50.000 euros respectivamente a las empresas EL COBRADOR DEL FRAC, S.A., y GESTION Y RECUPERACION M-1 SL, ambas sociedades del mismo grupo del Cobrador del Frac y encargadas de incomodar a deudores hasta que estos realizaran el pago total del compromiso económico contraído. Según la Resolución publicada por la Agencia, sendas empresas han vulnerado el artículo 9 de la Ley de Protección de Datos española, que garantiza la adopción de medidas necesarias para que salvaguardar los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Ambos negocios, con sede en ciudades como Murcia, Barcelona, Madrid o Valencia, acumularon un total de siete denuncias que aludían a la vulneración del deber de secreto al divulgar datos de solvencia económica, presunta morosidad y deudas entre vecinos, familiares y conocidos de los presuntos deudores.

Según la resolución, publicada recientemente, “ha quedado acreditado que las citadas entidades incumplieron esta obligación del deber de secreto, al establecer un sistema de comunicación con su cliente que no impidió de manera fidedigna que por parte de terceros se pudiera acceder a datos personales del mismo, como es la colocación de publicidad bien visible en el buzón y, además, en la puerta de su domicilio que trata de llamar la atención de la condición de moroso del denunciante, en donde figuraba su nombre y apellidos, número de portal y piso, así como la referencia al agente de cobro con su número de móvil de contacto”. 

La Agencia también recoge en su resolución el intento de obstrucción por parte de las entidades a la labor inspectora de esta Administración, indicando que: “hay que hacer mención a otra circunstancia que se produce en el presente caso que agrava, aún más si cabe, la culpabilidad de la entidad denunciada, como es el intento de obstrucción a la labor inspectora, puesto que los inspectores actuantes en su informe señalan que “observaron en la copia la ausencia de la hoja que describía las actuaciones realizadas por el agente para el cobro de la deuda. Los inspectores solicitaron copia de dicha hoja a lo que el representante manifestó que había recibido instrucciones de sus superiores de no entregarla, ya que se trataba de un documento interno de trabajo. Ante dicha negativa los inspectores informaron al representante de que procederían a realizar un acta en la que recogerían dicha negativa, advirtiendo que con ello podría incurrirse en obstrucción a la labor inspectora.

Mientras los inspectores se encontraban redactando la citada acta, recogiendo la negativa a la entrega del mencionado documento, éste fue aportado por el representante, quien manifestó que tras hablar con sus superiores, éstos habían decidido facilitarlo”

Por otro lado, este tipo de prácticas podrían dar lugar también a la iniciación de un procedimiento civil de protección al honor del deudor, pues, al igual que la inclusión errónea en un fichero de morosos a una persona que no tenga tal condición, la divulgación de esa misma condición también podría atentar contra el honor.

Fuente: Extremadura Progresista)