Nº 21 Septiembre 2011 €5.

La AEPD en acción

LOPD

práctica

Espacio de formación: Derechos ARCO. El derecho de rectificación

Tema del mes: Protección de datos personales en las aseguradoras

LOPD news

Demanda contra Google por no borrar los datos de una empresa

De interés Trucos y consejos INTEGRAMOSTIC Localícenos en: Avda. Juan López Peñalver 21, PTA Málaga Málaga - Mijas - Marbella - Ronda - Sotogrande - Córdoba Tlf: +34 951 704 700 - www.integramostic.es

Síguenos en:

espacio de formación

DERECHOS ARCO. EL DERECHO DE RECTIFICACIÓN EN LA LOPD Para evitar que las solicitudes de ejercicio de los derechos de los usuarios sean desatendidas o destruidas, con el riesgo de posibles denuncias ante la Agencia Española de Protección de Datos, es recomendable centralizar su atención y gestión adecuada, en los plazos fijados por la LOPD. Para ello, podemos: -Determinar una persona o un Departamento concreto de la empresa en el que se centralice la gestión (como, por ejemplo, en el Departamento de Marketing, Atención al Cliente, etc...). -Disponer de una dirección específica de correo electrónico (como, por ejemplo: datos@----., lopd@---., etc). Esta opción es especialmente recomendable en aquellos casos en que los datos sean recabados a través de formularios vía web, tiendas on-line, portales, etc... El ejercicio de los derechos reconocidos en la LOPD es personalísimo, de forma que sólo el titular de los mismos podrá solicitar su ejercicio (en el caso de menores o incapacitados, su representante legal); por ello, es necesaria la correcta identificación de la persona que realiza la solicitud de ejercicio de un derecho, que podrá realizarse: -Solicitando que se adjunte al escrito de solicitud la fotocopia del DNI o cualquier otro documento identificativo (en determinados sectores empresariales, éste es un requisito imprescindible: seguros, bancos o entidades financieras, etc...). -Si nuestro contacto con el usuario/cliente siempre ha sido por medios electrónicos (una dirección de correo electrónico), es posible usar el nombre de la cuenta de correo electrónico como dato de identificación, aunque es conveniente que a la misma se acompañen otros datos que nos permitan conocer su identidad. A) Derecho de Rectificación Derecho de Rectificación: Derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos. Justificación: debe indicarse a qué datos se refiere y la corrección que haya de realizarse aportando documentación. Plazo: 10 días hábiles. Denegación: debe motivarse y procede indicar que cabe invocar la tutela de la AEPD. Fuentes: Microsoft, AEPD, ManacaConsulting

Algunos errores más comunes: * Inspecciones de la Agencia : Es habitual que las empresas piensen que la Agencia Española de Protección de

Datos sólo hace inspecciones cuando ha existido una denuncia previa de un empleado o de un cliente, creyendo que con tener empleados y clientes de confianza no hace falta inscribir el fichero ni cumplir las medidas de seguridad. Pero esto no es así, la Agencia puede hacer inspecciones de forma aleatoria sin que haya una denuncia previa. Fuente: INTECO

INTEGRAMOSTIC Localícenos en: Avda. Juan López Peñalver 21, PTA Málaga Mijas - Marbella - Ronda - Sotogrande - Córdoba o también en: Tlf: +34 951 704 700 - www.integramostic.es 2

SUMARIO

editorial

FORMACIÓN Derechos ARCO El derecho de rectificación en la LOPD.

2

LA AEPD EN ACCIÓN Algunos de los casos judiciales más destacados a los que se ha enfrentado la LOPD, comentados directamente por profesionales.

4

LOPD NEWS -Primera demanda contra Google por no borrar los datos de una empresa -La mitad de las empresas tendrá que renovar sus políticas de privacidad -El director de la AEPD considera que Internet sacude la privacidad -Nuevos cambios en la privacidad de Facebook -Los adolescentes descuidan la privacidad en la Red

6

TEMA DEL MES Protección de Datos Personales en las Asesorías

8

Pensar en privacidad, ya es pensar en Cloud Computing

Retomamos nuevamente el tema de la videovigilancia, uno de los principales motivos de denuncia de los usuarios en lo que a privacidad se refiere. En este caso, hacemos especial hincapié en lograr un uso correcto de ella. La presencia de cámaras nos alerta de inmediato y en ocasiones se trata de elementos disuasorios que no conllevan ningún tratamiento de datos de carácter personal, por lo tanto no existe vulneración de la LOPD. En otras ocasiones, los principales errores se cometen en la obligación de informar adecuadamente sobre la existencia de cámaras de videovigilancia, tanto para la instalación y uso de estas cámaras, como a la hora de informar sobre la presencia de las mismas, la LOPD establece una serie de pautas que quedan protegidas por la Ley con importantes sanciones económicas en caso de incumplimiento. Titulares que hablan de refuerzos en la privacidad de muchas empresas, de cambios en las políticas de privacidad en navegadores, así como en redes sociales tales como Facebook, nos remiten a las ventajas que conlleva la novedosa forma de trabajar de la “Cloud Computing” o nube de contenidos. Se trata de un paradigma que permite ofrecer servicios de computación a través de Internet. Según el IEEE Computer Society, es un paradigma en el que la información se almacena de manera permanente en servidores de Internet y se envía a cachés temporales de cliente, lo que incluye equipos de escritorio, centros de ocio, portátiles, etc. Es un nuevo modelo de prestación de servicios de negocio y tecnología, que permite al usuario acceder a un catálogo de servicios estandarizados y responder a las necesidades de su negocio, de forma flexible y adaptativa, en caso de demandas no previsibles o de picos de trabajo, pagando únicamente por el consumo efectuado. Con este nuevo sistema de trabajo se obtienen importantes ventajas gracias a las dinamización en las infraestructuras tecnológicas. Genera beneficios tanto para los proveedores, que pueden ofrecer, de forma más rápida y eficiente, un mayor número de servicios, como para los usuarios que tienen la posibilidad de acceder a ellos, disfrutando de la inmediatez del sistema y de un modelo de pago por consumo. Hablamos del presente en la protección de datos personales. :)

10

ANOTACIONES -Webs y libros de interés sobre LOPD-LSSICE -Espacio de información Brevemente...

11

TRUCOS Y CONSEJOS

EDITA: Integramostic www.integramostic.com DIRECTOR GENERAL: Alejandro Fabián Álvarez DEPARTAMENTO DE COMUNICACIÓN: Cristina de la Torre REDACCIÓN: Cristina de la Torre Lautaro Álvarez DISEÑO Y MAQUETACIÓN: Cristina de la Torre WEBMASTER: Mario Boldrini

staff

Tras los intensos meses estivales y vacacionales, retomamos los últimos acontecimientos informativos en cuanto a privacidad y seguridad de los datos personales, que han venido marcando la actualidad LOPD de las mencionadas fechas. Ha sido tiempo para los consejos y avisos en la protección de datos, marcados por el contexto de los meses de verano, donde disponemos de más tiempo de conexión para el ocio, donde las conexiones suelen ser más frecuentes desde nuestros teléfonos inteligentes o aprovechamos las conexiones wifi, todo ello hace que tengamos que doblegar nuestra atención y cuidado a la hora de navegar por Internet, en cualquier caso, la primera recomendación que podemos hacer a la vuelta de las vacaciones es un cambio radical de nuestras contraseñas, simplemente, más vale prevenir...

Le comunicamos que “LOPD práctica” no se hace responsable de las opiniones ni comentarios que los lectores expresen. En virtud de lo previsto en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) y en la Ley Orgánica 15/1999 de 13 de Diciembre, de Protección de Datos de Carácter Personal (LOPD), este medio se reserva el derecho de suprimir, parcial o totalmente, todos aquellos escritos que vayan contra la dignidad y/o moralidad de las personas. “LOPD práctica” se compromete a tratar los datos personales, que los lectores y/o clientes faciliten al registrarse como usuarios, con estricta confidencialidad.

3

LOPD

La AEPD en acción

práctica

Tratamiento de datos personales versus presunción de inocencia En julio de 2009 entra en la Agencia Española de Protección de Datos una denuncia por parte de dos trabajadores de la empresa ATENTO TELESERVICIOS ESPAÑA. En el escrito exponen que trabajan como teleoperadores para la empresa ATENTO y que en la aplicación que utilizan para desarrollar su trabajo (JASON) han utilizado su clave y las del resto de sus compañeros del mismo servicio para que realizaran las mismas funciones en Lima (Perú). El personal de Lima no tenía claves para trabajar y les han dado las de los afectados, por lo que en la aplicación se reflejaban tramitaciones, hechas fuera de su horario laboral, a su nombre. Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Ins-

pección de Datos la realización de las actuaciones previas de investigación. ATENTO es un grupo de empresas distribuidas por todo el mundo que firma un acuerdo con Telefónica para la prestación de servicios de telemarketing y atención al cliente de Telefónica. Los servicios “BACK OFFICE” eran prestados en un principio por personal de ATENTO en España y posteriormente dichos servicios son gestionados también en Perú, ambos necesitan los mismos recursos para acceder a los sistemas de Telefónica. Se ha verificado por la Inspección de Datos que los usuarios de ATENTO que realizan los servicios de “BACK OFFICE” necesitan identificarse y autenticarse de forma inequívoca y personalizada para acceder a los Sistemas de Información de TELEFÓNICA. Se

asignan además claves de acceso que es necesario cambiarlas en 48 horas, en caso contrario el sistema la desactiva y sería necesario solicitar una nueva, por lo que es el usuario el responsable de la modificación de la misma y de su confidencia. Inspección de Datos ha comprobado que no es posible acceder al Sistema de Información con el mismo código de usuario desde dos puestos de trabajo. Comentario: Los artículo 6.1 y 2 disponen que: ”1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. “2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias

de las Administraciones Públicas en el ámbito de sus competencias; así como otras excepciones. No ha sido posible determinar la existencia de infracción alguna a la LOPD, pues no hay prueba alguna que acredite la existencia de tratamiento inconsentido de los datos de los denunciantes por parte de ATENTO, del mismo modo, tampoco se ha evidenciado, que con un mismo usuario se pueda acceder a dos terminales distintos, al ser preciso que cada usuario se identifique, ya sea desde los centros de trabajo sitos en España o en Perú. Por tanto, a la vista de la documentación obrante en el expediente, debe de procederse al archivo del presente expediente por falta de pruebas y por aplicación del principio de presunción de inocencia. (Fuente: Agencia Española de Protección de Datos www.agpd.es)

requiere atentar contra la privacidad para Videovigilancia: que haya vulneración de la LODP Un denunciante remite un escrito a la AEPD donde manifiesta una supuesta vulneración de la Ley de Protección de Datos por parte de un vecino que tiene instalada una cámara de videogilancia en su terraza y orientada a zonas comunes. Tras realizar las investigaciones oportunas, se averigua que se trata de una cámara con finalidad disuasoria, es falsa y no está operativa en modo alguno, no se encuentra conectada a ningún monitor ni sistema de grabación. Debe decirse que la resolución del presente expediente pone de manifiesto que los elementos probatorios aportados en la denuncia basados en la constatación de la existencia de lo que parece ser una cámara, no resultan suficientes para enervar el principio de presunción de inocencia, pues de la mera

4

existencia de una cámara de videovigilancia no se desprende, por un lado, que la misma funcione, que capte imágenes de personas y que las imágenes captadas sean de tal nitidez que pueda identificarse a las personas, y, por otro, que la instalación no cumpla con las garantías exigidas en la normativa de protección de datos. A la vista de lo expuesto, al no existir captación o grabación de imágenes de datos personales por parte del denunciado, y atendiendo al principio de presunción de inocencia, procede el archivo del presente expediente de actuaciones previas. Comentario: Con carácter previo, procede situar la materia de videovigilancia en su contexto normativo. Así el artículo 1 de la LOPD dispone: “La presente

Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. En cuanto al ámbito de aplicación de la LOPD, el artículo 2.1 de la misma señala: “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, definiéndose el concepto de dato de carácter personal en el apartado a) del artículo 3 de la LOPD, como “Cualquier información concerniente a personas físicas identificadas o

identificables”. El artículo 3 de la LOPD define en su letra c) el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. La garantía del derecho a la protección de datos, conferida por la normativa de referencia, requiere que exista una actuación que constituya un tratamiento de datos personales en el sentido expresado. En otro caso las mencionadas disposiciones no serán de aplicación. (Fuente:www.agpd.es)

No es correcto un cartel informativo videovigilancia: “Sonrían, le están grabando” La Policía Municipal de Madrid manda un escrito de denuncia a la Agencia Española de Protección de Datos. Denuncia la instalación de cámaras de videovigilancia en el establecimiento “HELADERIA TITO”, sin cumplir los requisitos exigidos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. El Director de la Agencia acordó iniciar procedimiento sancionador a la entidad por presunta infracción del artículo 5.1 de la Ley Orgánica, una vez investigados y exclarecidos los siguientes hechos. En el establecimiento denominado “HELADERÍA TITO” se encuentra instalado un sistema de vigilancia mediante videocámaras que captan las imágenes de las personas que se encuentran en su interior.

Consta que en el citado establecimiento no se facilita información a los afectados, acerca de la existencia del sistema de videocámaras y del tratamiento de datos personales, en los términos recogidos en los artículos 5 de la LOPD y 3 de la Instrucción 1/2006, al carecer de distintivos informativos y/o hojas informativas conteniendo la información que se especifica en la citada normativa. En dicho establecimiento, en ambas fachadas, tienen un cartel elaborado por el propietario donde reza, “sonría, le están grabando” para que tengan conocimiento, los clientes del establecimiento de la presencia de las videocámaras. Es necesario señalar que este cartel no se adecua a lo recogido en la normativa en materia de protección de datos en la medida en que no informa de que se trata de una zona videovigilancia. Asimismo, en dicho cartel no se informa de la entidad ante la cual se pueden ejercitar los derechos reconocidos en los arts. 15 y siguientes

de la LOPD. Se le impone a la entidad denunciada, por una infracción del artículo “5.1” de la LOPD, tipificada como “leve” en el artículo “44.2.d)” de dicha norma, una multa de “2000” € (dos mil euros) de conformidad con lo establecido en el artículo “45.1” de la citada Ley Orgánica. Comentario: El artículo 2.1 de la LOPD señala: “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”; definiéndose el concepto de dato de carácter personal en el apartado a) del artículo 3 de la LOPD, como “Cualquier información concerniente a personas físicas identificadas o identificables”. El artículo 5 de la LOPD dispone lo siguiente: “1. Los interesados a los que

Más de

2.000 profesionales pueden leer este

anuncio LLAMA AL

951 704 700

[email protected]

se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. Con respecto a la forma de facilitar dicha información, los responsables están obligados a: a) Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y b) Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la LOPD. (Fuente: Agencia Española de Protección de Datos www.agpd. es)

LOPD práctica

LOPD news

REPASO A LA ACTUALIDAD

Primera demanda admitida contra Google por no borrar los datos de una empresa Una empresa que sufrió un trágico suceso en 1978 denuncia que Google remite a información sensacionalista en sus búsquedas, lo que les causa daños económicos y reputacionales. Un juez de Amposta (Tarragona) acaba de admitir a trámite la primera demanda por el derecho al olvido que presenta una empresa. Se trata de la compañía familiar Alfacs Vacances, que regenta el Cámping los Alfaques (Tarragona), complejo en el que sucedió un terrible accidente en 1978. La empresa considera que Google no utiliza en todos los casos el “algoritmo neutral” de búsqueda, ya que otras compañías como Hipercor en España o el casino MGM de Las Vegas en EEUU, que han sufrido atentados o siniestros que han tenido gran repercusión mediática, han conseguido que un primer rastreo en

el buscador no sitúe las noticias de las desgracias en lugar preferente. Alfacs Vacances denuncia que Google le produce pérdidas económicas y que daña su reputación. Se trata, por lo tanto, de una demanda por lo civil que invoca el derecho al honor de la empresa, a diferencia del resto de casos que se han producido hasta ahora, en los que ciudadanos particulares reclaman su derecho al olvido a Google por supuestas infracciones a la protección de datos. Los abogados que asesoran a la empresa, señalan que “la novedad jurídica reside en que la cuestión de derecho planteada no se refiere a la posible responsabilidad de Google por enlazar o albergar unos contenidos ilícitos, sino a la forma en la que Google muestra los resultados acompañados de información gráfica que nada o poco tiene que ver con las

La mitad de las empresas tendrá que revisar sus políticas de privacidad Los posibles problemas con la fuga de datos, el cloud computing y los servicios de localización harán que las organizaciones tengan que modificar sus condiciones de seguridad para finales de 2012. Ante el creciente número de amenazas, las empresas se verán obligadas a modificar sus políticas de privacidad. Así lo pronostica Gartner, que ha publicado un informe que muestra que más de la mitad COMENTARIO Grandes fugas de datos como la sufrida por Sony alertan sobre la seguridad de los contenidos alojados en la Red. Los expertos avisan de los riesgos y apelan a la responsabilidad del usuario. Gartner, que tratará todos estos temas en la cumbre sobre seguridad profesional que se llevará a cabo en este mes de septiembre en Londres, recomienda a las empresas que tengan especial cuidado con los diferentes cambios regulatorios que se están produciendo en materia de seguridad.

6

de las organizaciones de todo el mundo deberán revisar sus condiciones antes de finalizar 2012 para evitar verse afectadas por problemas de seguridad. Entre los temas a los que las empresas deberán prestar mayor atención, Gartner ha elaborado un ranking en el que destaca especialmente la fuga de datos. Para acabar con este problema, la consultora aconseja proteger la información personal, restringir los accesos y encriptar los datos cuando circulen por redes. Por otro lado, los servicios de localización también son una fuente de posibles peligros si son empleados con malas intenciones. Servicios como GPS o Wi-Fi permiten recopilar información privada del usuario por lo que la consultora informa del riesgo que supondría una futura utilización de esos datos. Otro de los asuntos en los que se centra el estudio es el cloud computing. Las empresas deberán responder a las leyes del país en el que se encuentra su servicio si quieren garantizar su propia seguridad en la nube.

búsquedas realizadas por un usuario”. Para ello, siguiendo jurisprudencia del Tribunal de Justicia de la Unión Europea (sentencia de 23 de marzo de 2010), entienden que Google desempeña un papel substancial en la configuración de su página. Google ha declinado hacer comentarios sobre este caso. Entre sus argumentos, Google esgrime que la jurisdicción española no es competente para decidir el asunto, ya que el servicio lo ofrece Google Inc., empresa radicada en California, y no Google Spain, cuyos servicios se reducen a ofrecer publicidad y no tratan datos. Otro de los razonamientos reiterados por el buscador es que quien debe retirar la información es la página de origen y no Google, que sería un mero espejo de la realidad. Además, admite que técnicamente podría retirar los datos como solicitan los demandantes, pero supondría “vulnerar el derecho de información”. Mientras, Europa vive la fiebre del derecho al olvido en Internet desde hace meses. La comisaria de Justicia, Viviane Reding, anunció que presentará una propuesta legislativa para protegerlo en las redes sociales. En cambio, Javier Fernández-Samaniego, socio director de Bird & Bird, recuerda que “el actual marco normativo europeo ofrece mecanismos suficientes para concretar este derecho”.

COMENTARIO Todo ello cuando en los últimos años se ha incrementado el número de ciudadanos que reclaman el derecho a que sus datos personales desaparezcan de los índices que ofrecen los buscadores de Internet. La Agencia Española de Protección de Datos (AEPD) ha dictado más de noventa resoluciones relacionadas con Google, instándole a que retire los enlaces que los demandantes consideran perjudiciales. El buscador se niega a retirar los contenidos y ha recurrido ante la Audiencia Nacional cinco de estas resoluciones.

El director de la AEPD considera que Internet sacude la privacidad El director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez, ha asegurado que “Internet es una de las principales fuentes de riesgo para la vida privada de las personas en los países democráticos”, así lo ha manifestado durante una conferencia dada en el curso ‘Los Límites de la Red’, que se ha celebrado en el marco de los cursos de verano que la Universidad Complutense de Madrid organiza en San Lorenzo de El Escorial. Ha centrado su intervención en el derecho a la privacidad y los datos personales y los problemas que suscita la Red para la consecución de este objetivo. En este sentido, ha señalado que la sociedad “se ha visto sacudida por la revolución de las tecnologías de la información y se han multiplicado las amenazas a la esfera privada de las personas”. “Ya no existen las barreras temporales ni espaciales que tradicionalmente protegían la privacidad” ha remarcado. Igualmente, ha indicado que las consecuencias “no son baladíes, pues este

hecho afecta también a otros derechos como el honor, la igualdad, la libertad ideológica o el acceso al trabajo”. Por ello, Rodríguez ha apostado por reforzar las garantías legales y se ha referido a la reforma de la Ley de Telecomunicaciones que modificará el sistema actual y lo sustituirá por el de la exigencia de consentimiento informado. Asimismo, ha subrayado que “el reto es encontrar vías para que los usuarios sean conscientes del riesgo y se permita el normal funcionamiento de las Red”. Sobre las redes sociales, Rodríguez ha destacado que, en Internet, “los suministradores de información son múltiples y situados en diferentes geografías y esto dificulta e impide mantener el esquema clásico de imputación de responsabilidades”, ha dicho.

COMENTARIO La AEPD ha reclamado que la normativa española de protección de datos sea aplicable a todos los servicios que se prestan en España desde Internet. Actualmente, en esta línea, se está pendiente de que la Audiencia Nacional clarifique cual es la legislación aplicable, si la del país de origen o la del país en el que se prestan los servicios.

Nuevos cambios de privacidad en la red social Facebook teos podrán seleccionar quiénes leerán La red social ha habilitado una serie de opciones para editar los comentarios que se publiquen en el muro.

esos comentarios usando la tecla “público objetivo”. Se podrá elegir quién ve las actualizaciones de estado, las fotos y la información del perfil

No es la primera vez. Facebook, con sus 750 millones de usuarios, es la red social más grande del mundo. Y sus problemas de seguridad han sido una y otra vez los blancos favoritos de sus usuarios y sus detractores.

En tanto, una de las nuevas herramientas permite etiquetar a la persona que está con quien postea. Así, al instante se creará un enlace al perfil de ese usuario. Además, se puede compartir la publicación con sus amigos.

A partir de ahora, quienes realicen pos-

Por último, Facebook habilitó una opción para compartir en qué barrio o ciudad está la persona que publica en todos sus “posts”. También se podrá aclarar cuando se trate de un lugar específico, como un bar o una plaza.

COMENTARIO En las últimas semanas, Facebook nos volvía a sorprender descuidando su privacidad. La última fechoría ha sido mostrar públicamente los números de teléfono de todos tus contactos del teléfono móvil sin avisar, por lo que puedes deducir que tu número de teléfono estará disponible para tus contactos. Este fallo ha sido muy criticado y juzgado por los usuarios.

Los adolescentes descuidan la privacidad en la Red Los adolescentes españoles están a la cola a la hora de establecer filtros de privacidad en las redes sociales, según una encuesta elaborada por la Universidad Camilo José Cela entre más de seis mil niños y jóvenes de seis países iberoamericanos. Poco más de la mitad (58 por ciento) toman medidas para asegurarse de que sus datos o fotos no llegan a manos inadecuadas. No es una cifra muy alta, aunque los profesores Sánchez Burón y Álvaro Martín, autores del trabajo, no creen que el dato sea inquietante. «No es que no cuiden la privacidad —asegura Adolfo Álvaro Martín—. Es que probablemente la valoran de otra manera. La encuesta señala que el 7 por ciento de nuestros adolescentes ha quedado en la vida real con chicos a los que solo conocía de internet, lejos de Argentina (20 por ciento), Colombia (53), Ecuador (16), México (15) y Venezuela (40). «Es un dato reducido, pero que habla de la necesidad de educar en la responsabilidad», dicen los autores del estudio. En España, el 79,4% de los adolescentes tiene cuenta en una red, de forma mayoritaria en Tuenti (el 91% de los encuestados), aunque estas cifras cambian, al alza, cada día. «Este el primer producto que se ha extendido de una forma tan rápida y sin publicidad tradicional, solo por el boca a oreja», opina el profesor Sánchez Burón. Los investigadores reflejan una relación de los adolescentes con internet sin graves conflictos, aunque con una enorme importancia en sus vidas. En España, el 30 por ciento piensa a veces que su vida sin las redes sería vacía y aburrida. Y el 14 tiene esa idea muy a menudo. El profesor Adolfo Álvaro describe esta escena: «Un niño llega con su padre a la puerta de un colegio. Lo reciben sus compañeros. Juegan juntos. Cuando acaba se va a su casa, pero ese fin de semana nadie habla con él en las redes sociales. Sus amigos le han excluido. Parece integrado, pero no participa de la misma realidad que sus compañeros».

7

LOPD

Tema del mes

práctica

Protección de datos personales en las aseguradoras LAS CUESTIONES PRINCIPALES DE ESTA TEMÁTICA RADICAN EN LA POSIBILIDAD DE CEDER DATOS SENSIBLES DE CARÁCTER PERSONAL A LAS ENTIDADES ASEGURADORAS SIN EL CONSENTIMIENTO PREVIO DEL INTERESADO SEGÚN LOS CRITERIOS DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS, ASÍ COMO EL TRATAMIENTOS DE DICHAS INFORMACIONES, Y EL DERECHO DE CANCELACIÓN, OPOSICIÓN O RECTIFICACIÓN DEL AFECTADO. ES JUSTO Y LÓGICO LA RECOPILACIÓN DE DICHAS INFORMACIONES POR PARTE DE LA ASEGURADORA Y NOSOTROS LO CONSENTIMOS, PERO ¿QUÉ SUCEDE SI QUEREMOS ELIMINAR NUESTROS DATOS?

CRIS DE LA TORRE

El art. 62 de la Mediación de Seguros y Reaseguros Privados (LMSRP) describe las condiciones de responsable del fichero o encargado de tratamiento según se actúe por parte del profesional del seguro.

La gran parte de informaciones y datos tratados en las aseguradoras debe atender a criterios de privacidad, pues se trata de grandes cantidades de datos personales y confidenciales que merecen un tratamiento especial por la sensibilidad de dichas informaciones. Por todo ello, es necesario adoptar sistemas de gestión seguros basados en la normativa establecida de Mediación de Seguros y Reaseguros Privados (LMSRP). Existe una mención especial es su Capítulo XV, donde se recogen las necesidades y obligaciones básicas sobre LOPD, además de las consideraciones que se recogen en la Ley 15/1999 sobre Protección de Datos de Carácter Personal (LOPD) y el resto de la normativa existente. Todo este entramado adquiere especial relevancia al hablar de la actividad aseguradora, sobre todo en lo que se refiere a la mediación y distribución de seguros, pues desde la Agencia Española de Protección de Datos se han abierto ya numerosos expedientes sancionadores. Cuando contratamos un seguro o incluso cuando por cualquier medio pedimos información a una determinada compañía de seguros nuestros datos personales suelen quedar registrados. En el primero de los

8

casos para usos comerciales y para podernos prestar adecuadamente el servicio, y en el segundo por motivos meramente comerciales. El art. 62 de la LMSRP describe las condiciones de responsable del fichero o encargado de tratamiento según se actúe por parte del profesional del seguro. Debemos entender y definir como Encargado de Tratamiento a “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.” Paralelamente, el art. 3 de la LOPD define al Responsable de fichero como “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Por sus funciones de compromiso frente a una entidad aseguradora en exclusiva para realizar la actividad de mediación, se desprende que los agentes de seguros exclusivos adquieren la condición de Encargados de Tratamiento frente a la entidad aseguradora que legalmente actúa como responsable del fichero. En torno a estas definiciones y trabajo de compromiso se recogen una serie de obligaciones. Las obligaciones que han de quedar

reguladas deben hacer referencia a la utilización de los datos conforme a las instrucciones y finalidades que estipule el responsable del tratamiento. Deben guardar secreto y no divulgar los datos, permaneciendo esta obligación, incluso cuando finaliza la relación entre Agente y aseguradora. Adoptar medidas necesarias tanto de índole técnica como organizativa que garanticen la seguridad de los datos y eviten su alteración, pérdida o acceso no autorizado. Habilitar protocolos para que el afectado pueda ejercitar los derechos de Acceso, Rectificación, Cancelación u Oposición. Recabar el consentimiento del afectado cuando estemos ante datos sensibles, como por ejemplo, los relativos a la salud. En lo que se refiere al procedimiento para ejercitar dichos derechos, ello se encuentra establecido en el artículo 17 de la mencionada LOPD, artículo titulado “Procedimiento de oposición, acceso, rectificación o cancelación”, y que en su marco establece que “Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos reglamentariamente” (art.17.1) y que “No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación” (art.17.2).

Por su parte los Corredores de Seguros y Reaseguros, adquieren una condición distinta. Son Responsables del Tratamiento y, por tanto, de los ficheros. Aquí los profesionales realizan la actividad de mediación con total independencia y sin mantener vínculos contractuales con las entidades aseguradoras. Éstos recaban los datos necesarios de sus clientes para asesorarles y proporcionarles la cobertura de los riesgos que demanden; es por ello que actúan como responsable. No debe olvidarse por tanto que existe la necesidad de cumplir con todas y cada una de las obligaciones que la normativa en protección de datos les marca. Es incorrecto pensar que por ejemplo si somos clientes de un determinado seguro y nos damos de baja del seguro, la misma baja causará baja de nuestros datos personales, pues es común que dejemos de ser clientes activos, pero que la compañía nos mantenga en su base de datos con fines comerciales. Datos que en caso de desear que sean dados de baja en su totalidad y para todos los casos, deberemos darnos de baja cancelando primero el seguro y entonces en todo caso pedir que nos den de baja nuestros datos en todas las bases de datos que disponga la compañía en cuestión.

Resumen de las obligaciones que deben cumplirse respecto al tratamiento automatizado de datos: • Inscripción de los ficheros ante el Registro General de Protección de Datos. • Elaboración de cláusulas legales para garantizar el derecho de información en la recogida de datos. • Cláusulas sobre consentimiento. • Elaboración del correspondiente Documento de Seguridad. • Adopción de medidas de seguridad técnicas y organizativas.

Fuentes: AEPD, PERSPECTIVA EMPRESARIAL, AUDEA, BLOG TEORÍA DE SEGUROS

9

LOPD práctica

anotaciones Brevemente... Buenas prácticas para mejora la seguridad de la red social por excelencia, Facebook

http://blog.segu-info.com.ar Blog donde se recogen las últimas noticias sobre seguridad de la información, actualizaciones inmediatas. Se definen como una comunidad de informadores que no duerme.

La empresa de seguridad informática Kaspersky Lab, ha publicado recientemente una serie de recomendaciones para hacer más segura la navegación y el uso de la red social más extendida del mundo, Facebook. Gracias a esta red social nuestras formas de comunicación han cambiado notablemente, incluyendo mejoras tales como la rapidez en las difusión de las informaciones, pero este avance a través de Internet trae consigo también una serie de inconvenientes en forma de inseguridad y necesidad de privacidad. En un esfuerzo de síntesis, la compañía de seguridad ha definido 7 pasos y prácticas que considera imprescindibles para hacer uso totalmente seguro de Facebook:

de interés

1. Endurecer los Controles de Privacidad “recomendados” que vienen por defecto al crear tu cuenta facebook.

http://spamloco.net/ Web con las últimas informaciones sobre las amenazas de spam que circulan por la Red, virus, troyanos y demás elementos infecciosos para nuestro sistema informático.

2. Desaparecer para siempre de Facebook. Se debe respetar la voluntad del usuario cuando desea borrar por completo su presencia en Facebook y debe hacerse sin que tenga que preocuparse porque algunos materiales y contenidos permanezcan disponibles en Internet o en la red social. 3. Comprometerse con los controles parentales. En este sentido, Kaspersky Lab propone que los menores estén seguros en Facebook y, para ello, que los padres puedan supervisar las cuentas sus hijos y que éstas sean de acceso limitado. 4. Mejorar la cultura 2.0 de los usuarios. Eugene Kaspersky propone crear un consejo asesor en el que participen expertos de la comunidad de seguridad. 5. Dejar claro qué aplicaciones son de confianza. Facebook debería revisar sus políticas de seguridad y controlar todas las aplicaciones que se suben en su red social. 6. Navegación segura con HTTPS. Facebook ofrece la posibilidad de usar cifrado de seguridad HTTPS para proteger las cuentas de los usuarios.

Actuaciones inspectoras en materia de protección de datos. El protocolo de inspección Los autores pretenden explicar de forma clara que se entiende por el procedimiento de inspección de la Agencia Española de Protección de Datos u otra autoridad de control de tipo autonómico. (Libro electrónico). ISBN-9788476988176

10

7.- Implementar la doble autenticación - Los bancos están ofreciendo e-tokens o dispositivos electrónicos para facilitar el proceso de autenticación a sus clientes para que accedan de forma segura a sus cuentas bancarias online. Este sería un buen procedimiento aunque costoso. En su defecto, Facebook podría enviar códigos de control a través de SMS, que también lo usan algunos bancos. Fuente: TECHKEEK.ES

LOPD práctica

s Q A F ?

trucos y consejos

¿Cómo acreditar el cumplimiento del deber de información cuando los datos se recogen a través de un formulario web? ¿y si se utiliza un cartel informativo? Será preciso poder acreditar que en el momento en que se recabaron los datos se disponía de dichos medios de información (por ejemplo, mediante la constancia de la fecha en el acceso a la página web). En el caso del formulario web, debería existir una política de privacidad en que se contengan todas las exigencias del artículo 5 LOPD, siendo recomenda-

ble que sea necesario aceptar haber leído dicha política antes de remitir los datos. El cartel informativo debería contener todos las exigencias del artículo 5 LOPD o, por ejemplo, complementarse con la existencia de hojas informativas a disposición de los usuarios (Instrucción 1/2006 de la AEPD - videovigilancia -)

¿Cuándo procede la cancelación y cuando el bloqueo de los datos? El interesado puede ejercitar su derecho de cancelación cuando los datos son inadecuados o excesivos. Esta cancelación como regla general deberá implicar el bloqueo del dato y no su supresión. En consecuencia, la cancelación y el bloqueo no son términos incompatibles, sino que el bloqueo es el efecto derivado de la cancelación.

El plazo del bloqueo quedará sujeto a las responsabilidades que pudieran derivarse del tratamiento o de la relación subyacente que lo justifica, por lo que habrá de atenderse a las circunstancias de cada caso concreto y a los correspondientes plazos de prescripción de las acciones previstos en el Código Civil y la normativa específica que sea de aplicación.

¿Cuándo se puede crear un fichero con varios responsables? Sólo cuando existe habilitación o legitimación. Debe estar articulado el protocolo de gestión del fichero (información, derechos ARCO, responsabilidades, etc.), el control de acceso y medidas de seguridad. Cada responsable tiene que notificar el fichero al RGPD. Del fichero de control de visitas a un edificio que comparten varias empresas puede ser responsable la empresa de

seguridad del edificio (Instrucción 1/1996, norma 2, párrafo primero). El fichero de asuntos de un despacho colectivo de abogados no es un fichero con varios responsables. Cada profesional es responsable de sus expedientes. Control de accesos impedirá el uso de datos que no son de su competencia.

En la sección de trucos y consejos, nuestro objetivo es dar respuesta a las diferentes preguntas que se plantean en torno a la temática de protección de datos y su obligatoriedad. Damos respuesta a las pricipales cuestiones que nos plantean diariamente nuestros clientes y usuarios, y exponemos algunos consejos o trucos que pueden serles útiles en cuanto a LOPD. [email protected]

11

LA EMPRESA Integramostic representa una evolución en la adecuación a la LOPD, brindamos tranquilidad, seguridad, eficiencia y experiencia. Es una empresa especializada en SGSI, LOPD y LSSI/CE incentivada por la Junta de Andalucía que nace de consultores especialistas en la implantación LOPD. Hemos sabido consolidar y mantener, hasta el día de hoy, una posición de primera línea en el ámbito del asesoramiento SGSI y LOPD, avalados por más de 1000 clientes de diferentes sectores y tamaños.

FORMACIÓN LOPD - LOPD TOTAL - GRAN EMPRESA

CERTIFICACIÓN de su sitio WEB SELLO LSSI-CE

S I T A R G

ahora totalmente gratis al contratar nuestros servicios

LSSI: Ley 34/2002, del 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico

La Ley de las nuevas garantías y derechos de Internet

LA WEB DE COMPRA DE PRODUCTOS LOPD

Integramostic

Lopd fácil de cumplir Todo lo que necesita para proteger sus datos a un solo click

www.lopdfacildecumplir.es

di

20

%

- Destrucción de documentos - Software de copia de seguridad - Videovigilancia

s Ca en fru nje nu ta d a e es e ste tra es c tie te d upó nd es n a cu y on en lin to e

dt

o.

backup4LOPD