El 19 de abril de 2008 entró en vigor el Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos personales, aprobado por Real Decreto 1720/2007. El nuevo reglamento desarrolla varios aspectos pendientes de la mencionada ley, y tiene como objetivo ofrecer mayor seguridad jurídica a empresarios y personas físicas en el ámbito de los datos personales.

¿Qué es la LOPD?

Se trata de una Ley Orgánica que articula el derecho fundamental a la protección de los datos personales, derecho reconocido en la Carta Europea de los Derechos Fundamentales así como en la Constitución Española. Este derecho nos permite a todas las personas controlar quién tiene nuestros datos y qué pueden hacer con ellos: cargar un recibo a nuestra cuenta, enviarnos comunicaciones publicitarias, hacer un perfil de consumo, notificarnos por SMS, valorar nuestra candidatura para un trabajo, etc. Para garantizar el derecho a la protección de nuestros datos, toda entidad que trate datos personales deberá cumplir los requisitos que la LOPD y su reglamento establecen.

¿Quién tiene que adecuarse a la LOPD?

Cualquier empresa, profesional liberal, organización sin ánimo de lucro o administración pública.

· Que tenga trabajadores (tratamiento de datos del personal para fines laborales)

· Que utilice cámaras de vigilancia (tratamiento de la imagen para fines laborales)

· Que tenga clientes, usuarios, socios, pacientes, etc.

Prácticamente cualquier actividad profesional o empresarial implica la conexión con datos de personas, y por tanto debe tener en cuenta lo establecido en la LOPD.

Novedades recogidas en el nuevo reglamento

· Consentimiento para el tratamiento de los datos de menores. Los menores, a partir de los 14 años pueden consentir al tratamiento de sus datos.

· Consentimiento tácito. Para los casos en los que la ley no exige un consentimiento expreso, se establece los pasos a seguir para obtener el consentimiento tácito.

· Consentimiento para otras finalidades. Cuando se solicite el consentimiento de un cliente para finalidades que no guarden relación directa con el servicio contratado se le deberá permitir que manifieste expresamente su negativa.

· Prueba de consentimiento para el tratamiento de los datos. Deberá conservarse prueba del cumplimiento del deber de informar así como del consentimiento.

· Tratamiento de datos recabados de terceros en campañas publicitarias. Se establecen nuevos requisitos en el caso de campañas de publicidad y prospección.

· Reglamentación del derecho de oposición. El Reglamento establece la manera en que deberán atenderse las solicitudes de oposición al tratamiento de los datos.

· Supervisión del encargado del tratamiento. Deberá velarse activamente por que la entidad contratada cumpla todo lo exigido en el Reglamento.

· Subcontratación. Deberá autorizarse a la empresa contratada para realizar el tratamiento en caso de que ésta desee a su vez subcontratar alguna parte del trabajo.

· Medidas seguridad para soporte papel. Se recogen medidas de seguridad para los datos almacenados en papel, encaminadas a impedir el acceso de personal no autorizado.

· Cambio en los niveles de seguridad. Siguen existiendo tres niveles de seguridad, en función de la confidencialidad de los datos: nivel básico, medio y alto si bien habrá cambios en los niveles de los ficheros existentes actualmente.

· Documento de seguridad. Deberá ampliarse el documento de seguridad para recoger las medidas aplicadas a los datos guardados en papel.

· Fuentes accesibles al público. El nuevo reglamento concreta las fuentes accesibles al público que se puede utilizar (censo promocional, listados de colegios profesionales, etc.)

¿Qué para sí incumplo la LOPD?

· No ofrezco a mis clientes las garantías mínimas en relación al tratamiento de sus datos.

· Estoy desprotegido ante el robo de datos por parte de mis trabajadores o personal externo.

· Puedo ser sancionado, en caso de denuncia o inspección, con multas de 600€ a 600.000€. Las multas dependen de la gravedad de la falta, no del volumen de mi empresa.

Para minimizar el riesgo de sanciones, así como para adaptarse de la manera más eficiente posible, es recomendable contar con el asesoramiento de una empresa o profesional especializado en materia de protección de datos personales.

Algunos ejemplos de sanciones

· Cámaras de vigilancia.

o infracción: no notificar a la Agencia de Protección de Datos la creación de un fichero de vídeo vigilancia mediante cámaras y no adecuar las mismas a todos los requisitos de la LOPD.

o quién puede denunciar: cualquier persona que vea que he instalado cámaras, ya sea un trabajador, cliente, usuario o cualquier que pase por el lugar donde existen las cámaras.

o Sanción: infracción leve (600€ a 6.000€) por no inscribir el fichero y por no proporcionar información suficiente. Infracción grave (6.000€ a 300.000€) por no legitimar el consentimiento para el tratamiento o por vulnerar el principio de seguridad de la LOPD.

· Documentación en soporte papel.

o Infracción: no adaptar los procedimientos de seguridad a lo establecido en el RD 1720/2007, con un plazo límite para adaptarse de octubre de 2009 o abril de 2010 en función del tipo de datos.

o quién puede denunciar: cualquier afectado que considere vulnerada la confidencialidad de los datos por un incorrecta custodia de los mismos.

o sanción: infracción grave (6.000€ a 300.000€) por incumplir el principio de seguridad de la LOPD.

· Extrabajadores.

o infracción: cualquier mal uso que realice el trabajador en relación a los datos a los que tenía acceso.

o quién puede denunciar: cualquier persona que conozca que se han divulgado sus datos.

o sanción: infracción leve (600€ a 6.000€) por incumplir el deber de secreto exigido por la LOPD.

· Envío de publicidad.

o infracción: envío electrónico no solicitado previamente por el destinatario.

o quién puede denunciar: cualquier persona que haya recibido email o SMS con publicidad.

o sanción: infracción de la LSSICE, con multas de hasta 30.000€.

· candidatos de empleo.

o infracción: pasar currículos a otras empresas del mismo grupo, sin consentimiento del interesado.

o quién puede denunciar: cualquier candidato de empleo que conozca la cesión de sus datos.

o sanción: infracción muy grave de la LOPD (300.000€ a 600.000€) por cesión inconsentida de datos.

Compártelo

Somos la 1ª empresa en el sur de Europa en iniciar el Programa de Certificación AAA NAID Certified, que es la única auditoría externa e independiente en el mundo que controla el proceso de destrucción confidencial de documentación, marcando unos niveles de seguridad mínimos que obligan a ser extremadamente escrupulosos con la seguridad en cualquier momento del proceso desde la recogida de los documentos, el transporte, la custodia, la destrucción, hasta la final gestión del residuo obtenido en la trituración.

Actualmente son Operadores NAID AAA Certified, 595 empresas, que representan 1.584 localizaciones y el Newsletter se envía a 3.117 usuarios. Durante 2009 se han incorporado 16 nuevas certificaciones al mes.

Compártelo

AEDCI se encarga de redactar un código tipo para la custodia de archivos y la destrucción confidencial de información, según indicaciones de la Agencia de Protección de Datos, y para poder desarrollarlo participamos en la comisión de trabajo.

Agradecemos la implicación desinteresada de Salvador Esteve, nuestro Dtor. de Desarrollo.

Un código tipo se puede definir como código deontológico o de buena conducta o práctica profesional.

Compártelo

La información es hoy uno de los activos más importantes de nuestra economía. Por ello, cada vez desde más organismos se recuerda la necesidad de una correcta gestión de la información. En este blog hemos hablado varias veces de las iniciativas de la Agencia Española de Protección de Datos y de la Agència Catalana de Protecció de Dades.

La última en sumarse a esta tendencia ha sido la Comisión Nacional del Mercado de Valores (CNMV) que recomienda, entre otras cosas, asignar nombres en clave a las operaciones financieras de modo que no se puedan identificar a las partes involucradas ni sus características, además de extremar las precauciones respecto al acceso a documentos relativos a las operaciones.

Este organismo encargado de supervisar e inspeccionar los mercados de valores españoles y la actividad de cuantos intervienen en los mismos afirma claramente que la protección de la información “es susceptible de mejora”. Además, la guía espera acabar con las filtraciones y con el “riesgo de uso indebido” de la información.

Las recomendaciones incluyen, entre otros asuntos, los procedimientos de la estructura organizativa y la formación de los empleados, así como la salvaguarda y control de la información.

“Las medidas expuestas a continuación pretenden servir de orientación tanto a los transmisores como a los receptores de información privilegiada, en cuanto que su aplicación puede contribuir a una mejor gestión y control de la transmisión de dicha información. A tal objeto, cada entidad, ya sea transmisora o receptora, deberá considerar la factibilidad, efectividad y conveniencia de implementar tales medidas, pudiendo no poner en práctica aquellas medidas propuestas a continuación que no estime apropiadas o, incluso, aplicar medidas distintas de las aquí mencionadas”.

Vía CNMV.

Compártelo

Los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del Real Decreto deberán tener implantadas desde el momento de su creación la totalidad de de las medidas de seguridad reguladas en el mismo.

La legislación establece unos plazos para los ficheros existentes en la entrada en vigor del Reglamento, aquellos que hubieran sido debidamente notificados antes del 19 de abril de 2008.

Así, respecto a los ficheros automatizados y no automatizados existentes en la fecha de entrada en vigor del Reglamento, la disposición transitoria especifica los siguientes plazos (Arriba: Soportes No Automatizados; Debajo: Soportes Automatizados).

Los plazos para los ficheros no automatizados son muy claros:

–12 meses desde el 19 de abril de 2008 para las medidas de seguridad de nivel básico
–18 meses desde el 19 de abril de 2008 para las medidas de seguridad de nivel medio
–2 años desde el 19 de abril de 2008 para las medidas de seguridad de nivel alto

Compártelo

1. La seguridad en la industria necesita empleados de confianza.
2. Existe una obligación legal de destruir la información (con sanciones muy importantes).
3. El mayor daño es la pérdida de la confianza de los clientes.

Riesgos por los que hay que establecer un sistema seguro:

• Negligencia y descuido por parte de los empleados. La única manera de solucionarlo es estableciendo sistemas seguros y sencillos, sin largos almacenamientos y, si puede ser, con recogida sencilla y diaria
• Venganza de empleados insatisfechos
• Robos
• Delito organizado y espionaje

Compártelo

Hace un par de días El País publicaba una entrevista a Nikesh Arora, vicepresidente de Google para Europa, en la que analizaba el comportamiento de Google ante la crisis mundial. Por el momento, parece que este fenómeno global no está afectando al principal buscador de Internet, que alcanzó un beneficio de 1.346 millones dólares hasta septiembre, un 26% más que el año pasado.

Como referencia mundial acerca de la privacidad y la seguridad de los datos confidenciales en Internet, la periodista le preguntó acerca de la privacidad en plataformas como Facebook, que permiten a cualquiera colgar fotografías de uno. La respuesta de Arora es clarísima:

“Cada vez que recibes un servicio dejas una huella: cada vez que pagas con tarjeta en un restaurante o haces una llamada. La gente no se preocupa mucho de ello porque tiende a confiar en que se hará un buen uso de esa información. Y en Google no vamos a hacer un mal uso de ella, la gente usa nuestro correo electrónico y nuestro buscador porque confía en nosotros. Internet es un reto, es más que un medio. La Red hace el problema peor, pero el problema empieza cuando alguien toma esa fotografía tuya”.

En esta misma línea La Vanguardia publica una entrevista a la directora de la Agència Catalana de Protecció de Dades (APDCAT), Esther Mitjans. En ella sigue las tesis de Arora cuando afirma que “poner información personal en Internet es perder el 70% de su control”, especialmente cuando se está produciendo un uso “inconsciente” de las redes sociales de Internet como Facebook.

“Internet es el espacio menos privado que existe, es como una pecera, absolutamente transparente. Una vez pones tu información personal en Internet pierdes el 60% o el 70% de su control. Si las personas son conscientes de esto, quizás seguirán sin leer las políticas de privacidad, pero sí se preocuparán de que exista esta política de privacidad y serán prudentes. No deben dar su dirección, su teléfono ni su ubicación”.

La directora de la APDCAT aconseja tomar algunas precauciones para evitar situaciones no previstas en relación a los datos privados que se introducen en las redes sociales:

• Usar un email exclusivo y distinto del habitual para las redes sociales.
• Usar un seudónimo.
• En caso que ya se esté registrado, darse de baja y volver a hacerlo siguiendo este sistema.
• Inmediatamente después de registrarse, acceder al apartado de gestión de la privacidad y cambiar las opciones por defecto por aquellas que nos aseguren una privacidad adecuada.
• No dar la dirección, el teléfono ni la ubicación.
• No poner fotos de otros sin su consentimiento, sobretodo de menores de edad. Intentar evitar colgar fotos comprometidas incluso de uno mismo.
• Ser consciente y prudentes en relación a quien damos acceso a nuestros datos.

En su opinión, las nuevas tecnologías permiten almacenar y transmitir información y ponen en riesgo el derecho a la privacidad porque:

“Se pueden cruzar muchos datos, como en un puzzle en el que se ponen todas las piezas y del que puede salir el perfil de una persona. Esto puede resultar discriminatorio y puede afectarle en su vida normal, en el trabajo o al pedir un crédito. Hay que combatir el tipo de discriminaciones que puede provocar la creación de estos perfiles mediante las nuevas tecnologías”.

“El problema es que la gente no es suficientemente consciente de este riesgo y las nuevas tecnologías cambian tanto y de una manera tan acelerada que no permiten que los estados las regulen suficientemente. Los proveedores de estos servicios se aprovechan de esta falta de regulación homogénea y esto supone un reto para los estados nacionales”.

“No digo que no se tenga que acceder a las redes sociales. Es la comunicación del siglo XXI y es divertido. De lo que se trata es de que se haga con prudencia: que tengan un correo exclusivo para esto, que utilicen seudónimo y que vigilen mucho con quien tratan. Se presentan como redes de amigos, pero de hecho son redes de conocidos y de desconocidos. Si en la vida diaria no se habla con toda la gente con la que uno se cruza por la calle, no se deja abierta la puerta de casa ni se deja a la vista el diario personal, también en Internet se debe ser consciente de lo que se expone”.

-¿Qué hacen las empresas con los datos personales? ¿Cuál es el negocio?
-Son datos que están acumulados, fuera de tu control y aunque no se utilicen ahora quizás sí se utilicen más adelante. Pueden saber las películas y la música que te gusta, conocer tus filias y tus fobias. Pueden hacer un perfil tuyo y esto puede servir para el márketing, para vender y, evidentemente, también para hacer estudios de las aficiones de la gente en función de su edad y sexo. En principio esto no tendría porque ser un problema, pero no deja de ser un riesgo si no sabes cuál será su finalidad.

-Y una vez introducidos esos datos en la red…

-Ya está. Ya los has perdido.

-¿Sería posible borrar completamente el rastro de una persona en la red?

-Es díficil. Una manera sería intentar darse de baja de una red y volver a entrar con seudónimo, con un correo electrónico exclusivo. Lo que quizás valdría la pena es que, nada más acceder a estas redes sociales, se vaya al apartado correspondiente y se seleccionen las opciones de restricción y privacidad adecuadas para evitar que los datos puedan llegar a cualquiera.

Compártelo

Una representación de Destrupack asistirá en octubre al la jornada que organiza la UIMP de Valencia sobre “Empresa y protección de datos: un reto estratégico”, a la que ya nos hemos referido anteriormente. El programa, dirigido por Artemi Rallo Lombarte (Director de la Agencia española de Protección de Datos / Catedrático de Derecho Constitucional. Universitat Jaume I) y Ricard Martínez Martínez (Coordinador del Área de Estudios Agencia Española de Protección de Datos) plantea que las empresas españolas, abocadas a la sociedad de la información, deben dotarse de tecnologías y procedimientos adecuados para el tratamiento de datos personales.

Habitualmente las organizaciones perciben los procesos de cumplimiento de las normas sobre protección de datos como algo que plantea exigencias organizativas y económicas en ocasiones de muy profundo calado. Sin embargo, un análisis profundo puede demostrar que tales procesos resultan muy beneficiosos desde distintas perspectivas. Los procesos decisorios basados en tecnologías de la información requieren disponer de certeza y seguridad en la calidad de la información. La propia evolución tecnológica obliga a planificar políticas de gobierno de estas tecnologías en el plano de la gestión de la información, en la seguridad, o en el control de los flujos de información.

El empresario se relaciona con ciudadanos cada vez más conscientes de su derecho fundamental a la protección de datos y éstos exigen protección a quienes tratan sus datos personales. Por tanto, la protección de datos personales se erige aquí también en parámetro de calidad y confianza en la relación cliente empresario.

El curso analiza desde todas las perspectivas posibles el tratamiento de datos personales en un entorno empresarial ofreciendo criterios y directrices adecuadas para el cumplimiento de la legalidad vigente.

Más información. Seguiremos informando sobre esta jornada.

Compártelo

Muchos directivos de compañías o propietarios de empresas todavía no conocen el contenido de esta ley y no tienen en cuenta las repercusiones legales, las sanciones y los costes que se pueden derivar de una mala gestión de la información confidencial.

Su compañía es responsable de la integridad de los datos manejados y su reputación puede sufrir un daño irreparable si alguien emprende una acción legal por mal uso de la información. La ley obliga a destruir toda la información confidencial de manera regular.

Antecedentes

• En EUA se empezó a hablar en la legislatura de Kennedy durante los años 60 y en 1974 se legisló con la Privacy Act.
• En Europa se empezó a hablar también del concepto de protección de datos, pero hasta 1980 no se hizo un recomendación de la OECD
• Council of Europe Convention 1981.
• UNO Guidelines 1990.
• UE Directive 1995.
• Actualmente se están preparando nuevas leyes.

Fundamentos teóricos en la Legislación de Protección de Datos

• Derecho a la privacidad.
• Determinación propia de la información.
• Reglas teóricas.
• Proposición y finalidad.
• La información debe ser custodiada, tener un uso con finalidad y después ser destruida.

La confidencialidad está estrictamente protegida por la Directiva de Protección de Datos 95/46 EG

• La ley protege la confidencialidad.
• El sector público y el privado se tratan por igual.
• Los datos personales sólo pueden ser tratados con propósitos determinados.
• Sólo pueden ser tratados con consentimiento o la existencia de un contrato anterior.
• La destrucción de los datos estará definida en el proceso.
• La salida de datos de la UE está limitada.

Compártelo

Todas las entidades están obligadas a cumplir la legislación sobre protección de datos, que obliga a destruir los documentos confidenciales. En este sentido, existen disposiciones legales autonómicas, nacionales y europeas.

Parlamento europeo

• Directiva 95/46 /CE.
• Decisión 1600/2002 por la que se establece el Sexto Programa de Acción Comunitario de Materia de Medio ambiente.

Estado español

• Ley orgánica 15/1999 de Protección de Datos de Carácter Personal.
• Real Decreto 994/99 por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
• Real Decreto 195/2000 por el que se establece el plazo para implantar las medidas de seguridad en los ficheros automatizados previstos en el Reglamento aprobado por el Real Decreto 994/1999.
• Ley 10/1998 de residuos.

Comunidad autónoma de Cataluña

• Ley 5/2002 de la Agencia Catalana de Protección de Datos

Comunidad autónoma de Madrid

• Ley 8/2001 de Protección de Datos de Carácter Personal de la Comunidad de Madrid

Comunidad autónoma del País Vasco

• Ley 2/2004 de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos

Compártelo