viernes, 30 de enero de 2015

¿Tu empresa cumple ya con la LOPD?

La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, más conocida como LOPD, es la norma que desde el 14 de enero del 2000 tiene como objetivo regular en España el régimen jurídico aplicable al tratamiento de los denominados “datos de carácter personal” , estableciendo las condiciones en que se deben recoger, tratar y ceder este tipo de datos para no perjudicar con ello a los derechos fundamentales y libertades públicas de los ciudadanos.

Cualquier tipo datos de carácter personal que maneja cualquier empresa (clientes y trabajadores, principalmente) están sujetos a la LOPD. Esto provoca que la totalidad de las empresas deban cumplir con los requisitos que marca esta ley en relación a la toma, tipo, uso y eliminación de dichos datos.

En la sociedad actual donde todo está informatizado, que exista una normativa que regule aquellos aspectos que protejan la privacidad del ciudadano es un requisito básico. Todos queremos que los datos que disponen de nosotros empresas y administraciones públicas se usen de forma correcta. Pero en muchas ocasiones, las empresas desconocen el marco jurídico que regula la privacidad, incurriendo en riesgos innecesarios que pueden crear una imagen muy negativa del negocio, además de sanciones considerables por parte del órgano competente, la Agencia Española de Protección de Datos (AGPD).

Con una simple auditoría de la actividad de la empresa, viendo el tipo de datos recopila, qué hace con ellos, como los utiliza, donde los guarda, etc. se pueden crear las bases para que su negocio tenga la seguridad jurídica de hacer las cosas bien, evitando un desprestigios y multas desproporcionadas, que van desde los 900 a los 600.000 euros.

¿A qué datos se aplica o no la LOPD? 

La LOPD será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado en los siguientes supuestos:

- Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

- Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

- Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Por su parte, existen determinados datos de carácter personal que, a pesar de hacer referencia a una persona física determinada, se encuentran excluidos del ámbito de aplicación de la Lopd. Dichos datos son los siguientes:

- Datos referidos a personas jurídicas y las personas de contacto. La Lopd no se aplica a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

- Datos relativos a empresarios individuales. La Lopd no se aplica a los tratamientos de datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.

- Datos relativos a personas fallecidas. La Lopd no se aplica a los tratamientos de datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos

¿Por qué es tan importante cumplir la LOPD? 

Algunas razones de peso:

- Porque tus clientes son el activo más importante de tu empresa y debes protegerlos.
- Por la credibilidad que ganarás.
- Por la mejora continua que supone en la seguridad de la información.
- Por evitar fugas y pérdidas de información (trabajadores, colaboradores, etc.).
- Por la mejora que supone en la gestión de tu empresa.
- Por normalizar las relaciones con terceros gracias a los contratos que se redactarán.
- Para evitar sanciones de la Agencia Española de Protección de Datos.

Según estudios recientes sólo 2 de cada 10 empresas españolas cumplen con La Ley Orgánica de Protección de Datos, porcentaje pírrico si tenemos en cuenta que dicha ley lleva en circulación más de catorce años y que vulnerarla puede provocar sanciones elevadísimas que en ocasiones y en casos muy graves pueden ascender hasta los 600.000 euros, como mencionamos anteriormente.

Muchas son las razones que esgrimen las empresas que no cumplen con la Ley Orgánica de Protección de Datos. En primer lugar existe el motivo que deriva del desconocimiento. Hay un alto número de empresarios que desconocen la existencia de esta ley orgánica y menos la circunstancia de que están obligados a cumplirla escrupulosamente. En este grupo de desconocedores podemos incluir aquellas empresas que aunque diariamente manejan datos personales (prácticamente todas las empresas, sólo necesitan un proveedor o un empleado) no son conscientes de ello.

Por otra parte hay un segundo grupo que aún sabiendo a lo que se exponen no cumplen con la normativaporque jamás han sido protagonistas de una inspección, ni conocen a nadie que la hayan sufrido. En un tercer grupo destacable de empresas que no tienen la adaptación en regla, se encuentran aquellos negocios que aunque se han preocupado por informarse sobre la protección de datos, al querer adaptarse sin el asesoramiento de profesionales, han incurrido en errores saltándose pasos fundamentales. 

Por ejemplo hay empresas que tienen registrado los ficheros en la AEPD, pero sin embargo no tienen elaborado el documento de seguridad. Estas empresas no son incumplidoras por insumisión ni desconocimiento, sino por cuestiones de tipo técnico. Normalmente estas empresas son de ámbito familiar, con pocos recursos o que aun teniéndolos jerarquizan sus gastos prefiriendo invertir su dinero en otras cuestiones.

Esto hace necesario por parte de todos los agentes que participan en la sociedad la necesidad de animar a las autoridades a realizar actuaciones de concienciación y difusión, ya que no nos olvidemos, estamos hablando de una norma que garantiza derechos fundamentales reconocidos por la Constitución.

(Fuente: muycomputerpro.com)

miércoles, 28 de enero de 2015

La UE permite instalar cámaras en la vivienda reiteradamente dañada para 'cazar' al agresor.

El Alto Tribunal llega a una solución ecuánime: si bien la Directiva sobre Protección de Datos prohíbe la grabación con una cámara de vídeo instalada por una persona en la vivienda familiar y dirigida hacia la vía pública, también hay que tener en cuenta otros artículos de la norma que permiten tratar datos personales sin el consentimiento del interesado "cuando es necesario para satisfacer un interés legítimo del responsable del tratamiento de esos datos".

En concreto, explica el TJUE que la vigilancia mediante videocámara que incluya la grabación y el almacenamiento de datos personales está comprendida en el ámbito de aplicación de la Directiva, puesto que constituye un tratamiento automatizado de esos datos.

De ahí que, explica, grabar lo que otra persona haga en la vía pública no puede considerarse "una actividad exclusivamente personal o doméstica" que se encuentra excepcionada en la Directiva en lo que atañe al tratamiento de datos efectuados por una persona física.

Ahora bien, dicho esto sostiene que el órgano jurisdiccional nacional "debe al mismo tiempo tener en cuenta que las disposiciones de la Directiva permiten valorar el interés legítimo del responsable del tratamiento de los datos en proteger sus bienes, salud y vida, así como los de su familia".

Años de agresiones

En el caso concreto estudiado por el TJUE, un ciudadano checo, ante las continuas agresiones que había sufrido, tanto él como su familia, durante años por parte de un desconocido, decidió instalar en la vivienda familiar un sistema de videocámara que filmaba imágenes de la entrada de la propia vivienda, de la vía pública y de la entrada a la vivienda situada enfrente.

Además, las ventanas de la vivienda habían sido destrozadas en varias ocasiones. Precisamente, una noche un proyectil lanzado con un tirachinas rompió una de las ventanas de la casa y las grabaciones de la cámara de vídeo entregadas a la policía permitieron identificar a dos sospechosos, contra quienes se incoaron procedimientos penales. 

No obstante, uno de ellos cuestionó ante la Agencia checa de protección de datos personales la legalidad del tratamiento de los datos grabados por la videocámara. La Agencia comprobó que se había infringido efectivamente las normas en materia de protección de los datos de carácter personal, y multó al dueño de la vivienda. A este respecto, la Agencia hizo constar, entre otros extremos, que los datos del sospechoso habían sido grabados sin su consentimiento mientras que éste se encontraba en la vía pública, es decir, en aquella parte de la calle situada delante de la vivienda. 

Al conocer en casación del litigio el Tribunal Supremo checo, suspendió el proceso para acudir al Tribunal de Justicia de la UE.

(Fuente: El Economista)

lunes, 26 de enero de 2015

Denunciadas cuatro clínicas, una en Zaragoza, por divulgar datos de mujeres que abortaron.

La Asociación Española de Abogados Cristianos ha presentado una denuncia ante la Agencia Española de Protección de Datos contra varios centros dedicados a la práctica de abortos, uno en Zaragoza, por tirar presuntamente a los contenedores de basura informes de mujeres que habían abortado.

Entre estos centros, ha informado este martes la Asociación en una nota de prensa, se encuentran tres madrileños, la Clínica Dator-Partner Line, la Clínica Ginecológica Callao, la Clínica El Bosque, así como la Clínica AMEC, de Zaragoza.

La organización anuncia que "en los próximos días" se van a interponer también las correspondientes querellas ante las consejerías de Sanidad que tienen convenios con estos centros.

Además de las historias clínicas y la información médica relacionada con las mujeres que abortaron, se encontraron "residuos sanitarios humanos e instrumentales que tienen una normativa de tratamiento muy estricta y que presuntamente se estaba ignorando".

Por este motivo, la Asociación Española de Abogados Cristianos iniciará asimismo las preceptivas denuncias ante la Policía Sanitaria Mortuoria.

"Se trata de un trabajo de recopilación sin precedentes del que se derivarían responsabilidades administrativas, civiles y penales", manifiesta la organización en la nota de prensa.

El trabajo de investigación y recopilación de pruebas ha sido realizado por la asociación La Vida Importa, quien afirma que "altas instancias del Ministerio del Interior tenían conocimiento de estos hechos desde hace meses, sin que hasta ahora se haya llevado a cabo ninguna actuación, por lo que se está estudiando interponer una querella por omisión del deber de perseguir delitos".

En la documentación hallada en los contenedores se encuentran "historias clínicas con nombres, apellidos, dirección, DNI, abortos previos, citaciones, datos de quirófano, revisiones y hasta fotocopias de libros de familia".

La Asociación Española de Abogados Cristianos considera estas infracciones "muy graves" al haber "tirado", presuntamente, en contenedores de basura información sanitaria de carácter "muy sensible", en relación con mujeres a las que se les había practicado abortos en estas clínicas.

Recuerda que el artículo 7 de la Ley Orgánica de Protección de Datos establece que los contenidos sanitarios deberán ser especialmente protegidos por ser "información personal muy sensible", y los artículos 8 y 9 establecen la "responsabilidad de salvaguarda de dichos datos que deben tener dichos centros".

Además de una falta "muy grave" de carácter administrativo, que está sancionada con multas de hasta 600.000 euros, concluye la Asociación, el artículo 199.2 del Código Penal castiga con hasta cuatro años de prisión la divulgación de datos secretos de carácter profesional.

(Fuente: Heraldo de Aragón)

viernes, 23 de enero de 2015

100.000 euros de multa al Cobrador del Frac por sus técnicas de presión a deudores.

Entre las técnicas utilizadas de un modo indebido se encuentra la colocación de carteles en el buzón del deudor y en la puerta de su vivienda, indicando, entre otros datos, el nombre y apellidos del afectado; se constató también la entrega de tarjetas de visita por parte de los cobradores a vecinos y familiares del moroso. La Agencia Española de Protección de Datos ha sancionado estas prácticas por entender que se vulnera el deber de secreto, pues divulgan, de forma indebida, la condición de deudor a terceras personas. El cobrador del frac es, en tiempos de crisis, una figura cotidiana en el día a día. Disfrazados con atuendos llamativos, estos trabajadores tratan de lograr por diversos medios que personas o empresas liquiden las deudas con otros individuos o negocios. Se trata de un oficio conflictivo en el que la línea que marca el derecho a la intimidad del moroso a veces es vulnerada. 

La Agencia Española de Protección de Datos ha impuesto una multa de 50.000 euros respectivamente a las empresas EL COBRADOR DEL FRAC, S.A., y GESTION Y RECUPERACION M-1 SL, ambas sociedades del mismo grupo del Cobrador del Frac y encargadas de incomodar a deudores hasta que estos realizaran el pago total del compromiso económico contraído. Según la Resolución publicada por la Agencia, sendas empresas han vulnerado el artículo 9 de la Ley de Protección de Datos española, que garantiza la adopción de medidas necesarias para que salvaguardar los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Ambos negocios, con sede en ciudades como Murcia, Barcelona, Madrid o Valencia, acumularon un total de siete denuncias que aludían a la vulneración del deber de secreto al divulgar datos de solvencia económica, presunta morosidad y deudas entre vecinos, familiares y conocidos de los presuntos deudores.

Según la resolución, publicada recientemente, “ha quedado acreditado que las citadas entidades incumplieron esta obligación del deber de secreto, al establecer un sistema de comunicación con su cliente que no impidió de manera fidedigna que por parte de terceros se pudiera acceder a datos personales del mismo, como es la colocación de publicidad bien visible en el buzón y, además, en la puerta de su domicilio que trata de llamar la atención de la condición de moroso del denunciante, en donde figuraba su nombre y apellidos, número de portal y piso, así como la referencia al agente de cobro con su número de móvil de contacto”. 

La Agencia también recoge en su resolución el intento de obstrucción por parte de las entidades a la labor inspectora de esta Administración, indicando que: “hay que hacer mención a otra circunstancia que se produce en el presente caso que agrava, aún más si cabe, la culpabilidad de la entidad denunciada, como es el intento de obstrucción a la labor inspectora, puesto que los inspectores actuantes en su informe señalan que “observaron en la copia la ausencia de la hoja que describía las actuaciones realizadas por el agente para el cobro de la deuda. Los inspectores solicitaron copia de dicha hoja a lo que el representante manifestó que había recibido instrucciones de sus superiores de no entregarla, ya que se trataba de un documento interno de trabajo. Ante dicha negativa los inspectores informaron al representante de que procederían a realizar un acta en la que recogerían dicha negativa, advirtiendo que con ello podría incurrirse en obstrucción a la labor inspectora.

Mientras los inspectores se encontraban redactando la citada acta, recogiendo la negativa a la entrega del mencionado documento, éste fue aportado por el representante, quien manifestó que tras hablar con sus superiores, éstos habían decidido facilitarlo”

Por otro lado, este tipo de prácticas podrían dar lugar también a la iniciación de un procedimiento civil de protección al honor del deudor, pues, al igual que la inclusión errónea en un fichero de morosos a una persona que no tenga tal condición, la divulgación de esa misma condición también podría atentar contra el honor.

Fuente: Extremadura Progresista)

miércoles, 21 de enero de 2015

El Supremo condena a Caja Rural de Teruel por ceder ilegítimamente datos de una clienta a un registro de morosos.

Caja Rural de Teruel ha sido condenada a indemnizar a su clienta por haber cedido sus datos cuando estos “no eran veraces ni exactos, ni existía previamente una deuda cierta, vencida, exigible, que hubiera resultado impagada”. La entidad ha sido condena además a pagar una sanción impuesta por la AEPD que asciende a 20.000 euros. 

El delegado de Ausbanc en Aragón, Alberto Cardona, acompañado por el letrado director del procedimiento, José Ramón Elrío, comparecieron en rueda de prensa para explicar los detalles de la sentencia dictada por el Tribunal Supremo mediante la cual se condena a Caja Rural de Teruel a indemnizar a una clienta por haber cedido sus datos a un registro de morosos, cuando esos datos “no eran veraces ni exactos, ni existía previamente una deuda cierta, vencida, exigible, que hubiera resultado impagada”.

Caja Rural de Teruel ha sido condena además a pagar una sanción impuesta por la AEPD que asciende a 20.000 euros. 

Se trata de una importante sentencia ya que la entidad actuó de una forma un tanto rocambolesca. El caso comenzó cuando la asociada de Ausbanc detectó que Caja Rural de Teruel había cedido ilegalmente sus datos personales a los ficheros de solvencia patrimonial ASNEF y EXPERIAN, conocidos como ficheros de morosos, vulnerando su derecho constitucional al honor y a la propia imagen. Pero el caso se remonta a finales de 2007 cuando, según dice la sentencia “la demandante solicitó a la Caja la remisión de una tarjeta de crédito, por extravío de la anterior. La Caja remitió por correo ordinario la tarjeta y el código PIN, pero no llegaron a manos de la demandante, que había cambiado de domicilio sin comunicarlo a la Caja, sino a manos de un tercero, que hizo disposiciones por importe de 925,67 euros. La demandante, disconforme con la pretensión de la Caja de cargarle el importe de esas disposiciones hechas con la tarjeta, desde el 8 de febrero de 2008 formuló quejas ante la oficina del consumidor de Teruel y ante el defensor del cliente de las cooperativas de crédito, así como ante el servicio de reclamaciones del Banco de España. La Caja demandada comunicó los datos de la demandante a dos empresas responsables de sendos registros de morosos, Experian y Asnef, por una deuda impagada de 925,65 euros. Estas empresas comunicaron a la demandante su inclusión en sus ficheros el 11 y 12 de abril de 2008, respectivamente”.

A raíz de esto y tras las correspondientes denuncias y sentencias de primera y segunda instancia, el caso llegó finalmente al Tribunal Supremo quien da la razón a la asociada de Ausbanc, basándose en sentencias como la 284/2009 de 24 de abril que dice que la “inclusión indebida en un fichero de morosos vulnera el derecho al honor de la persona cuyos datos son incluidos en el fichero, por la valoración social negativa de las personas incluidas en estos registros y porque la imputación de ser “moroso” lesiona la dignidad de la persona, menoscaba su fama y atenga a su propia estimación («pues esta clase de registros suele incluir a personas valoradas socialmente en forma negativa o al menos con recelos y reparos […] es una imputación, la de ser moroso, que lesiona la dignidad de la persona y menoscaba su fama y atenta a su propia estimación»).

Principio de calidad de los datos

Pero el punto más importante de la sentencia es el que se refiere al principio de calidad de los datos que dice que “los datos deber ser exactos, adecuados, pertinentes y proporcionados a los fines para los que han sido recogidos y tratados”. Y afirma que “corresponde a los responsables del tratamiento garantizar el cumplimiento de tales requisitos. Si los datos de carácter personal registrados resultaran ser inexactos o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de que los afectados puedan ejercitar sus derechos de rectificación o cancelación. 

Si no fueran respetadas estas exigencias y como consecuencia de dicha infracción se causaran daños y perjuicios de cualquier tipo a los afectados, el art. 19 LOPD, en desarrollo del art. 23 de la Directiva, les reconoce el derecho a ser indemnizados, así como que la acción en exigencia de indemnización, cuando los ficheros sean de titularidad privada, se ejercitará ante los órganos de la jurisdicción ordinaria”.

En el caso que nos ocupa la sentencia es especialmente clara y concluye que “la demandada Caja Rural de Teruel vulneró la normativa de protección de datos. Cuando lo que existía era una disputa sobre quién debía asumir las consecuencias del extravío y uso indebido de la tarjeta de crédito enviada por la Caja a la cliente, que esta no recibió, la demandada, por su cuenta y riesgo, incluyó los datos de la demandante en dos registros de morosos, asignándole una deuda impagada que ascendía a la totalidad de las disposiciones indebidas realizadas con la tarjeta extraviada. Los datos no eran veraces ni exactos, no existía previamente una deuda cierta, vencida, exigible, que hubiera resultado impagada, sino una disputa legítima sobre quién debía soportar el quebranto patrimonial producido por el uso ilegítimo por un tercero desconocido de la tarjeta de crédito enviada por correo por la Caja a su cliente y que esta no recibió. Y, sobre todo, como destacaron tanto el Juzgado de Primera Instancia como la Audiencia Provincial, no se respetaron los principios de prudencia y proporcionalidad, puesto que los datos no eran determinantes para enjuiciar la solvencia económica. No se trataba de una cliente que hubiera impagado un préstamo o la liquidación mensual de los cargos de la tarjeta de préstamo, situaciones que pueden indicar la insolvencia económica de la afectada, sino de una cliente a la que se había enviado una tarjeta de crédito por correo, que había llegado a poder de un tercero que la había usado ilegítimamente, y existía una controversia razonable sobre si era la cliente o la Caja la que debía asumir tal quebranto patrimonial. 

Ha existido por tanto una vulneración ilegítima del derecho al honor de la cliente por la indebida inclusión de sus datos personales en dos registros de morosos, por lo que el recurso de casación debe ser desestimado, y la sentencia de la Audiencia Provincial, confirmada”.

Sin duda, en los tiempos que corren este tipo de sentencias ejemplarizantes son especialmente importantes, ya que el flujo de datos personales es muy elevado y su incorrecta utilización puede acarrear graves perjuicios económicos y deshonor a los afectados.

(Fuente: Mercado Dinero)