Bares, restaurantes y LOPD

Muchos clientes que tienen negocios de restauración y bares me preguntan sorprendidos que por qué ellos tienen que adaptarse a la LOPD, si no manejan datos de carácter personal.

Piensan siempre en que no tienen que pedirle datos a los clientes, porque lo normal es que no les pidan facturas.

Suponiendo que eso fuera así y que tu clientela no solicitara nunca factura, desde el momento en que tengas contratado a un camarero, cocinero u otro trabajador (que es lo más habitual), ya estás tratando datos de carácter personal y por tanto, tienes que cumplir la normativa. 

Tratas los datos de tus empleados para gestionar su relación laboral (contratos, seguridad social, retenciones, etc...). Y no sólo eso, sino que además normalmente se los cederás a un tercero para que te haga las nóminas y demás documentación (asesores laborales), lo que implica que tengas que dar cumplimiento al artículo 12 de la LOPD, que se refiere a la figura del encargado de tratamiento.

Y si lo que tienes es un bar de copas, baile o similar, donde es cada vez más habitual que se tomen fotos de los clientes para su posterior publicación en Facebook, pues tienes muchas más implicaciones legales a nivel de la LOPD de lo piensas.

No salgo de mi asombro cuando sigo viendo día tras día a propietarios de bares que publican, sin descanso, fotos de sus clientes bailando y tomando copas en su negocio, sin haber pedido previamente su consentimiento ni haberles informado por escrito. Esos propietarios se arriesgan a ser denunciados por cualquiera de los fotografiados o grabados en vídeo, pudiendo por ello recibir sanciones de elevadísima cuantía.

Y todo esto, no sólo es aplicable a bares y restaurantes, como puedes imaginar, sino a cualquier otro negocio en el que tengas contratados trabajadores, por ejemplo.

Pese a todo, son muchos los que siguen sin creer que la LOPD tenga algo que ver con ellos.

Gravísimo y carísimo error.

LOPD y contratos con terceros

Profesionales y empresas eluden u olvidan con muchísima frecuencia, el mandato del artículo 20.2 del Reglamento de desarrollo de la LOPD.

Según dicha norma:

2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

Traducido a la práctica quiere decir que, si por ejemplo, eres un empresario propietario de un restaurante y contratas a un asesor laboral para que te realice las nóminas de tus trabajadores, tienes que preocuparte por averiguar si dicho asesor cumple la normativa sobre protección de datos.

En resumen, que los terceros con los que contrates y puedan acceder a datos personales de los que seas responsable, han de estar adecuados a la LOPD y su reglamento y tú debes verificarlo (al menos deberías comprobar si están dados de alta en el Registro de la Agencia Española de Protección de Datos y si cuentan con el preceptivo documento de seguridad). Si no lo están, no debes contratar con ellos, o podrías -ojo- ser sancionado.

Comunidades de propietarios y protección de datos

Las comunidades de propietarios gestionan continuamente datos de carácter personal de dichos propietarios, que en muchos casos son personas físicas, y por tanto, la LOPD, RLOPD y toda la normativa sobre protección de datos, les resulta aplicable.

Aún son muchísimas las comunidades que no aparecen inscritas en el Registro de la Agencia Española de Protección de Datos y que no se han adecuado a la normativa de referencia, arriesgándose a ser sancionadas con elevadísimas multas, que perjudicarán a todos los propietarios.

Igualmente, llama la atención el hecho de que en muchos edificios y urbanizaciones existen cámaras de videovigilancia, pero no se ha inscrito el correspondiente fichero de imágenes ante el Registro de la Agencia Española de Protección de Datos.

Por algo así, una comunidad puede ser sancionada con 40.000 euros de multa.

Comprobar su inscripción obligatoria en el mencionado Registro es tan sencillo como poner su nombre o CIF aquí:

REGISTRO 

LOPD y Graduados Sociales

Salvo alguna extraña excepción, los Graduados Sociales son profesionales que tratan datos de carácter personal, lo que les obliga a dar cumplimiento a las previsiones de la LOPD, RLOPD y normativa concordante. 

Asimismo, si anuncian sus servicios profesionales en una web (algo muy habitual hoy día), tienen que adaptar la misma a las exigencias de la LSSICE.

Un incumplimiento grave de cualquiera de estas normativas, puede perfectamente acarrear multas de 40.000 euros, por lo que no es una cuestió baladí.

Además, la mayoría de los Graduados Sociales son lo que el artículo 12 de la LOPD considera ENCARGADOS DE TRATAMIENTO, por lo que se han de regir por unas pautas muy específicas. 

La Lista Robinson

La Asociación Española de Economía Digital gestiona el servicio de la LISTA ROBINSON, que es un servicio de exclusión publicitaria.

En otras palabras, es una lista donde puedes darte de alta para evitar el envío de publicidad no deseada.

Ten en cuenta que las empresas que envían publicidad vienen obligadas a consultar dicha lista para no enviar comunicaciones comerciales a quienes estén inscritos en el Servicio, a la hora de enviar publicidad a personas que no sean sus clientes, socios, usuarios, etc. 

Y afecta tanto al envío de publicidad por correo postal, como al hecho por e-mail o por teléfono.

Tú puedes inscribirte en esta lista cuando lo desees, a través de la web de la Asociación Española de Economía Digital.

Aquí tienes el link, por si quieres acceder directamente: 

https://www.listarobinson.es/default.asp

Informes de auditoría

Todo profesional o empresa que tenga datos de carácter personal de los que la Ley considera de nivel medio o alto, están obligados, conforme a lo dispuesto en el artículo 96 del RLOPD, a hacer cada dos años una auditoría para comprobación del grado de cumplimiento de las medidas de seguridad exigidas reglamentariamente, así como a recoger las conclusiones de la auditoría en un informe escrito que estará a disposición de la Agencia Española de Protección de Datos u órgano equivalente de la correspondiente Comunidad Autónoma.

Según informe de la Agencia Española de Protección de Datos nº 191/2010, el plazo de conservación de estos informes será de dos años.

Lo que significa que en una inspección, sólo podrían pedirte informes de los dos últimos años y no los anteriores, pues habría prescripción.

Identidad digital

Si eres un habitual de las redes sociales, blogs, foros, wikis, microblogging, etc, deberías leer la GUÍA SOBRE IDENTIDAD DIGITAL Y REPUTACIÓN ON LINE publicada por INTECO en su web www.inteco.es

Puedes descargártela de forma gratuita en:

http://www.inteco.es/Seguridad/Observatorio/guias/Guia_Identidad_Reputacion_usuarios

Médicos y protección de datos

Siempre me ha sorprendido especialmente la creencia, muy extendida, entre los profesionales de la medicina de que la legislación sobre protección de datos no les afecta.

Los médicos, como cualquier otro profesional que maneja datos personales de sus pacientes, están obligados a adaptarse a la LOPD.

Y por si fuera poco, los datos de salud que tratan, son considerados por la legislación como de nivel alto y por tanto están especialmente protegidos.

Simplemente, cualquier médico que no esté inscrito en el registro de la Agencia Española de Protección de Datos podría ser sancionado con 40.000 euros de multa.

Y saber si está inscrito es tan sencillo como poner su nombre AQUÍ

Seguridad dispositivos móviles

La empresa Deloitte Touche ha elaborado un Estudio Global de Seguridad en Tecnología, Medios y Telecomunicaciones 2012, donde se pone de manifiesto que las amenazas aumentan a medida que se introducen y utilizan nuevas tecnologías como la nube, dispositivos móviles y redes sociales. 

El estudio global de Deloitte señala que las principales amenazas son: dispositivos móviles (34%), violaciones de seguridad que involucra a terceros (25%), errores de los empleados u omisiones (20%), adopción más rápida de tecnologías nuevas (18%) y abuso del empleado de los sistemas e información de TI (17%).

“Como se nota, el uso de los dispositivos móviles es considerado como la principal amenaza a la seguridad para 2012; junto con la gama de beneficios que proporcionan al usuario generan también una serie de retos para las compañías relacionados con la confidencialidad de datos, la privacidad del empleado, la distribución y desarrollo de aplicaciones, y el soporte del dispositivo móvil”, concluye el estudio.

Opinión sobre Cloud Computing

Recientemente, las autoridades europeas de protección de datos, han dado su opinión sobre los riesgos de la NUBE.

Así, han concluido que:

El aumento del uso de la computación en nube también representa un reto para la protección de los datos. La implantación a gran escala de servicios de computación en nube presenta una serie de riesgos, centrados en la falta de control sobre el uso de los datos de carácter personal y la ausencia de información suficiente acerca de cómo, dónde y quién realizará el tratamiento de los datos.

Al enviar datos personales a los sistemas que gestiona un proveedor de servicios de computación en nube, los clientes de estos servicios dejan de poseer el control exclusivo de estos datos. Esto significa que es posible que no puedan aplicar las medidas técnicas y organizativas necesarias para garantizar, por ejemplo, la disponibilidad y confidencialidad de los datos, de los que el cliente de los servicios en la nube continúa siendo jurídicamente responsable conforme a la legislación de la UE.

La conclusión más importantes de las citadas autoridades es que las empresas que deseen contratar este tipo de servicios deben hacer antes un análisis exhaustivo y riguroso de los riesgos que de ello se derivan. A tal fin los proveedores de servicios deben ofrecer la máxima información posible para que los clientes puedan evaluar los pros y contras de su utilización.

Puedes consultar el informe completo en este ENLACE

Estadísticas inscripción ficheros

Si tienes curiosidad por conocer las estadísticas de inscripción de ficheros ante el Registro de la Agencia Española de Protección de Datos, puedes consultarlos AQUÍ

Periódicamente la Agencia publica las cifras de las inscripciones, distinguiendo si son altas, moficaciones o supresiones, sin son ficheros públicos o privados, tipo de Administación en el caso de ficheros públicos, nº de inscripciones por Comunidad e incluso provincia, y por sector de actividad.

Publicación de sentencias y LOPD

En Resolución de 9 de mayo de 2012 de la Agencia Española de Protección de Datos, dictada en el procedimiento sancionador PS/00553/2011, se impone una multa de 4.000 euros a la empresa PYB ENTERPRISES, SL, a consecuencia de una  denuncia por la publicación en el sitio web www.paraprofesionales.com de una sentencia dictada por el Tribunal Supremo, en la que figuraban el nombre y apellidos de la denunciante y de sus progenitores. En la sentencia se declara nula una sentencia de un Tribunal Superior de Justicia  y se condena al INSALUD a indemnizar a los recurrentes al considerarle responsable de los daños causados a la denunciante durante una intervención quirúrgica y durante la cual resultó infectada de los virus del sida y de la hepatitis C, revelándose en la sentencia los detalles de las circunstancias en que se produjo la infección.

Según la citada resolución:

La colisión entre la publicidad de las sentencias y el derecho a la intimidad de las personas ya ha sido, por otra parte, analizado por el Consejo General del Poder Judicial, disponiendo en el Acuerdo de 18 de junio de 1997, por el que se modifica el Reglamento número 5/1995, de 7 de junio, regulador de los aspectos accesorios de las actuaciones judiciales, como apartado 3 del nuevo artículo 5 bis del Reglamento, que “En el tratamiento y difusión de las resoluciones judiciales se procurará la supresión de los datos de identificación para asegurar en todo momento la protección del honor e intimidad personal y familiar”.

Esta cuestión ha sido también abordada en la STS (Sala de lo Contencioso Administrativo, Sección 1º), de 3 de marzo de 1995 […].

Desde esta perspectiva, la inclusión de la sentencia citada en los Hechos Probados de esta Resolución, en Internet a través del sitio web http://www.paraprofesionales.com, propiedad de la entidad denunciada, poniéndola a disposición de sus usuarios que acceden a dicho servicio, incluyendo datos personales de la denunciante, no cumple los condicionamientos expuestos y supone una vulneración de la LOPD. […]

Cookies exentas de consentimiento

Tras el nerviosismo y las alarmas causadas por la nueva regulación de las cookies, las autoridades europeas están aclarando y emitiendo informes sobre la materia. Así, publica la Agencia Española de Protección de Datos esta NOTA DE PRENSA sobre las cookies exentas de consentimiento, según la línea interpretativa que está dando el grupo de autoridades europeas de protección de datos- Grupo de trabajo del Artículo 29.

Resumiendo, se viene a aclarar que no para todos los tipos de cookies es necesario recabar el consentimiento del usuario, sino sólo para aquellas que recopilan información que va más allá de lo estrictamente necesario para prestar el servicio en cuestión.

Cloud computing y despachos de abogados

Si eres letrado y utilizas la famosa nube o cloud computing para almacenar datos de carácter personal relacionados con tu profesión, debes tener en cuenta este INFORME elaborado por la Agencia Española de Protección de Datos y el Consejo General del Poder Judicial.

El informe se titula UTILIZACIÓN DEL CLOUD COMPUTINGO POR LOS DESPACHOS DE ABOGADOS Y EL DERECHO A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

Alta Registro AEPD

Si eres un profesional, empresario, asociación, fundación, organización, administración pública o similar y utilizas datos de carácter personal, inexcusablemente tienes que darte de alta en el Registro de la Agencia Española de Protección de Datos.

Así te lo exigen los artículos 20 y siguientes de la LOPD (según seas una entidad privada o pública, la Ley establece diferencias y especialidades).

La primera duda e inquietud que le surge a mis clientes cuando les explico esta obligación que han de cumplir, es si ellos tienen que comunicarle a la AEPD los nombres, datos y asuntos de su clientela.

La respuesta es que no.

Lo que le comunicas a la AEPD cuando te das de alta en su Registro, son tus datos profesionales (tu nombre, CIF, domicilio, teléfonos, fax e -mail corporativos), el tipo de datos que utilizas y una serie de cuestiones adicionales sobre los mismos.

Pero no tienes que enviar a la AEPD una lista con los datos específicos de tus clientes.

Es un error muy extendido.

¿Para qué iba a querer la Agencia tener ese tipo de datos?

En esto de la protección de datos pasa como con las enfermedades: siempre hay alguien que te ha dicho que el dolor de muelas se pasa poniendo los pies en alto y aplicando hielo sobre la zona...

No hagas caso de los rumores y asesórate como es debido.

Destructoras de papel

¿Debes tener destructora de papel en tu oficina?

Ningún artículo del RLOPD ni de la LOPD lo exigen expresamente, por mucho que algunos se empeñen.

El artículo 92.4 del RLOPD, indica que:

Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

Lo anterior es aplicable tanto a la documentación en papel como a los soportes digitales (CDs, DVDs, discos duros, pendrives, etc…).

Los papeles, escritos, facturas, notas, y documentos en papel, en general, que contengan datos de carácter personal que vayas a tirar a la basura, tienen que ser previamente destruidos, con objeto de que la información no resulte legible y no se puedan identificar los datos en cuestión.

Obviamente, una destructora de papel es muy útil en esta tarea. Pero también puedes destruirlos a mano. Pero ojo, eso sí: tienes que hacerlo de tal modo que los trozos sean lo suficientemente pequeños como para que no puedan ser fácilmente “recompuestos”.

Documentación bajo llave

Otra de las preguntas que me hacen con mucha frecuencia es si los documentos en soporte papel tienen que guardase bajo llave.

La respuesta nos la da el Reglamento de desarrollo de la LOPD.

Así, como medida de seguridad de nivel básico se exige que:

Artículo 107. Dispositivos de almacenamiento.

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.

El artículo 108 añade que: 

Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.

Como medida ya de nivel alto, el artículo 111 establece lo siguiente:

Artículo 111. Almacenamiento de la información.

1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

En conclusión: Sí, los documentos deben estar bajo llave, ya sea en archivadores, armarios u otros dispositivos con llave, en caso de datos de nivel básico, o –además- en áreas que tengan puertas de acceso con llave o equivalente para los datos de nivel alto.

Si no puedes adoptar estas medidas porque las características del local u otras circunstancias lo impidieran, se tendrán que adoptar medidas alternativas.

Por supuesto, el Reglamento, siempre misterioso, no nos dice a qué medida alternativas se refiere.

¿Es segura la nube?

Son muchos los clientes que me preguntan si sus datos están seguros en la nube y si su utilización permite cumplir con la Ley Orgánica de Protección de Datos, ya que cada vez son más los que realizan la copia de seguridad en ella o la utilizan para subir y/o compartir archivos.

La respuesta debe ser que nada es seguro al 100%.

No obstante, ello no quiere decir que su uso conlleve un incumplimiento de las obligaciones impuestas por la normativa de protección de datos. No debería conllevarlo.

Eso sí, hay que tomar una serie de precauciones mínimas, para no acabar utilizando los servicios de alguna empresa que no garantice ni un mínimo nivel de seguridad.

Son muy utilizados hoy día por esos mismos clientes que me consultan los servicios de Dropbox, Google Docs, o Google Drive.

Estas son las recomendaciones que debes seguir a la hora de utilizar la nube:

1. Debes elegir proveedores de servicios sobradamente conocidos y no fiarte de los desconocidos.

2. Debes mantener instalado, actualizado y operativo un buen antivirus.

3. Suscríbete a algún boletín de noticias sobre seguridad informática, que te mantendrá informado sobre cualquier brecha de seguridad que pueda haber surgido en los servicios de tu proveedor en la nube.

4. Debes guardar una copia de seguridad adicional de tus datos en tu propio ordenador, disco duro externo u otro dispositivo, para que en caso de que algo ocurriese con tu proveedor en la nube, tú no pierdas toda tu información.

Además de esto, ten en cuenta que si los servidores de tu proveedor están ubicados físicamente fuera de España (que será lo más habitual), tendrás que analizar la cuestión de la transferencia internacional de datos, que en ciertos casos, tendrá que ser comunicada a la Agencia Española de Protección de Datos, y en otros, tendrás que se solicitar incluso su autorización.

Contraseñas seguras

Es noticia en estos días el robo masivo de contraseñas en la red social profesional LINKEDIN.

Hay quien dice que la culpa es la propia red, que no cuenta con las debidas medidas de seguridad, y hay quien dice que es culpa de los descuidos de los usuarios.

El caso es que se ha hecho una “infografía” sobre las contraseñas usadas por los usuarios y se ha establecido un “top-30” de los términos más usados  y que deja entrever en muchos casos que las contraseñas elegidas no cumplen ni la más mínima condición de seguridad.

Para que una contraseña se pueda considerar relativamente segura debe contar con al menos 8 caracteres e intercalar números y letras. Si además entre unas y otras añades algún signo (puntos, comas, guiones y similares), mucho mejor.

Éstas son las contraseñas que más se utilizan en Linkedin. Como verás, algunas son tremendamente simples y obvias, y por tanto muy inseguras:

-          link

-          1234

-          work    

-          god

-          job

-          12345

-          angel

-          the

-          ilove

-          sex

-          jesus

-          connect

-          fuck

-          monkey

-          123456

-          master

-          bitch

-          duck

-          michael

-          jordan

-          dragon

-          soccer

-          killer

-          654321

-          pepper

-          devil

-          princess

-          1234567

-          iloveyou

-          career

Un poco de imaginación, señores usuarios…

Publicación fotos sin consentimiento

En resolución de 3 de febrero de 2012, de la Agencia Española de Protección de Datos, dictada en el Procedimiento nº 365/2011, se apercibe al denunciado, que publicó un libro sobre la ciudad de Benidorm, donde figuraba una fotografía de la denunciante tomada sin su consentimiento. Dicho libro también era accesible a través de la web www.benidormyes.com

Se concluye en ella que, ante la falta de acreditación por parte de la operadora del consentimiento de la denunciante para el tratamiento de sus datos personales, y ante la ausencia de cobertura legal que amparase dicho tratamiento sin consentimiento, se estima vulnerado por la entidad imputada el artículo 6.1 de la LOPD.

 Y continua diciendo la resolución que:

Abundando en este sentido, procede citar la sentencia de la Audiencia Nacional de fecha 21 de diciembre de 2001 en la que se declaraba que “de acuerdo con el principio que rige en materia probatoria (art. 1214 del Código Civil) la Agencia de Protección de Datos probó el hecho constitutivo que era el tratamiento automatizado de los datos personales de D. (…) (nombre, apellidos y domicilio), y a la recurrente incumbía el hecho impeditivo o extintivo, cual era el consentimiento del mismo.

Es decir, (...) debía acreditar el consentimiento del afectado para el tratamiento automatizado de datos personales, o justificar que el supuesto examinado concurre alguna de las excepciones al principio general del consentimiento consagrado en el art. 6.1 de la Ley Orgánica 5/1992. Y nada de esto ha sucedido”.

En consecuencia, por todo lo que antecede, se considera infringido el artículo 6.1 de la

LOPD por parte de D. A.A.A. y que es responsable de dicha infracción al artículo citado, por lo que se desestiman sus alegaciones al respecto.

El precio de un error

En resolución de 18 de marzo de 2012 de la Agencia Española de Protección de datos, dictada en el procedimiento sancionador nº 559/2011, se sanciona con 3.000 euros a O2 CENTRO WELLNESS PLENILUNIO, S.L., por haber enviado por error un fichero adjunto a través de e-mail con datos personales de 9.293 clientes. Esta empresa cumplía con sus obligaciones en materia de protección de datos y tenía implantadas las pertinentes medidas de seguridad. Sin embargo, se produce un error humano, que en ningún caso es excusable.

Puedes consultar el texto completo de la resolución AQUÍ

Estafas Google Adsense

Si tienes un blog y utilizas Google Adsense, ten cuidado: los ciberdelincuentes podrían quedarse con tus beneficios.

Una nueva forma de estafa a través de internet consiste en el robo de las comisiones generadas por el  sistema de publicidad de Google Adsense.

Pueden hacerlo robándote parte de tu código, si tu sitio es vulnerable, cambiando el código de Google Adsense y haciendo que tu página emplee el suyo, de modo que los beneficios de esa publicidad acaban en su bolsillo en lugar de en el tuyo.

Otra estafa habitual a través de Google Adsense consiste en crear una página y simular los clicks a la publicidad empleando programas que enmascaran IPs o que generan un cierto número de visitas.

Derecho de oposición

El derecho de oposición, según el artículo 34 del Reglamento de desarrollo de la LOPD, es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:

a.    Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario.

b.    Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en el artículo 51 de este reglamento, cualquiera que sea la empresa responsable de su creación.

c.    Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal, en los términos previstos en el artículo 36 de este reglamento.

Establece el artículo 35 del referido RLOPD que el derecho de oposición se ha de ejercitar mediante solicitud dirigida al responsable del tratamiento, y si la oposición se realiza con base en la letra a) del artículo 34, en la solicitud deberán hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho.

El responsable del fichero tiene un plazo de diez días para resolver sobre la solicitud de oposición. En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo.

Difusión Con Copia Oculta

Enviar e-mails con las direcciones de los destinatarios en "copia visible" es una cesión inconsentida de datos que se realiza con sorprendente frecuencia (probablemente tú lo hayas hecho más de una vez).

 Esta práctica está sancionada por la LOPD, y la Agencia Española de Protección de Datos puede multarte (mínimo, 900 euros).

Si quieres contribuir a que el mayor número posible de personas conozcan esta cuestión, es buena idea que difundas esta página web, como yo misma hago ahora aquí:

CON COPIA OCULTA 

Difusión STOP BULOS

Por desgracia, no dejan de proliferar por e-mail y otros medios, leyendas urbanas de lo más variopintas, que ni mucho menos son inocentes envíos informativos. Además de servir para crear confusión y desinformación, habitualmente se utilizan para recopilar direcciones de correo electrónico, a través de los interminables reenvíos que se hacen (y que tú mismo haces con intenciones altruistas) de las referidas leyendas.

Es muy aconsejable que todos difundamos la siguien página, a fin que se conozca la realidad y cesen estas prácticas:

STOP BULOS 

Sede electrónica de la AEPD

Desde mediados de mayo está en funcionamiento la sede electrónica de la Agencia Española de Protección de Datos, que ha ampliado los servicios que ya venía prestando a través de internet.

En palabras de la propia Agencia se ha desarrollado una plataforma que facilita a ciudadanos, empresas y administraciones la realización de trámites, el envío de solicitudes y presentación de escritos a través de Internet.

Puedes consultar AQUÍ el detalle de los servicios en cuestión.

Derecho de rectificación

El artículo 16 de la LOPD regula de forma conjunta los derechos de rectificación y cancelación.

El responsable del fichero viene obligado a hacer efectiva la rectificación instada por el interesado en el plazo de diez días, y a comunicárselo por escrito y de forma fehaciente.

El derecho de rectificación consiste en la corrección de los datos que resulten inexactos o incompletos (artículo 31.1 del RLOPD.

Si los datos rectificados han sido comunicados previamente, el responsable de fichero deberá notificar la rectificación al cesionario, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la rectificación.

Según el artículo 24.2 del RLOPD el responsable del fichero tiene que poner a disposición del interesado un medio sencillo y gratuito para el ejercicio de este derecho.

La solicitud de rectificación indicará a qué datos se refiere y la corrección que haya de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado.

Si no existieran datos del interesado a disposición del supuesto responsable de fichero, éste se lo comunicará igualmente.

Derecho de acceso

 

El Artículo 15 de la LOPD regula el denominado Derecho de acceso.

El titular de los datos puede solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, del origen de dichos datos, así como de las comunicaciones realizadas o que se prevén hacer de los mismos.

Más detalladamente, el artículo 27 del RLOPD establece que El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

El acceso puede llevarse a cabo mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no.

El ejercicio de este derecho tiene limitaciones temporales, de modo que sólo cabe hacerlo a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes. O sea, que si no hay un motivo acreditado, no se puede estar ejercitando este derecho continuamente.

Será necesario que el interesado acredite su identidad, y puede ejercitarlo en nombre propio o mediante representante.

Se tendrá que poner a disposición del interesado un medio sencillo y gratuito para ejercitar el acceso.

El responsable de fichero tiene un plazo de un mes para contestar a la petición de acceso, e incluso tendrá que responder aunque no existieran datos del interesado en sus archivos.

SPAM

En su GUÍA PARA LA LUCHA CONTRA EL SPAM la Agencia Española de Protección de datos, ofrece una serie de consejos para prevenir el SPAM.

En la misma, el Spam o “correo basura” se define como todo tipo de comunicación no solicitada, realizada por vía electrónica. Es decir: cualquier mensaje no solicitado y que normalmente tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es mediante el correo electrónico.

Éstos son los consejos de la AEPD para prevenirlo (o al menos para intentarlo): 

 III.-Consejos para prevenir el Spam

La dirección de correo electrónico es el medio más utilizado para registrar la identidad de una persona en Internet y suele servir de base para la acumulación de información en torno a la misma. En muchas ocasiones contiene información acerca de la persona como el apellido, la empresa donde trabaja o el país de residencia. Esta dirección puede utilizarse en múltiples lugares de la red y puede ser conseguida fácilmente sin nuestro conocimiento, por lo que es necesario seguir una serie de normas para salvaguardar nuestra privacidad.

- Ser cuidadoso al facilitar la dirección de correo

Facilitar únicamente la dirección de correo a aquellas personas y organizaciones en las que confía y aquellas con las que quiera comunicar.

- Utilizar dos o más direcciones de correo electrónico

Es aconsejable crear una dirección de correo electrónica, que será la que se debe proporcionar en aquellos casos en los que no se confíe o conozca lo suficiente al destinatario. De este modo, su dirección personal será conocida únicamente por sus amigos o por sus contactos profesionales, con el ahorro de tiempo que implica no tener que separar correos importantes de aquellos no deseados.

Lo mismo se recomienda a la hora de utilizar servicios de mensajería instantánea.

- Elegir una dirección de correo poco identificable.

Los spammers obtienen las direcciones de correo electrónico de formas muy diferentes. Así navegando por la red, en salas de chat e IRC, o incluso en directorios de contactos o usando la ingeniería social. A veces compran incluso listas de correo electrónico en sitios web que venden los datos de sus clientes. Y, cuando todo esto falla, simplemente conjeturan.

Las direcciones de correo electrónico que se refieren a una persona como tal, suelen contener algún elemento que les identifique y son fáciles de recordar.

Esta forma de crear el correo permite a los spammers intuir las direcciones de correo electrónico. Por ejemplo, si su nombre es Jesús Fernández, el spammer probará con las siguientes opciones: jesusfernandez@...., j.fernandez@...., jfdez@....., jesus.fdez@...., etc.

Los spammers incluso cuentan con programas que generan automáticamente posibles direcciones de correo. Pueden crear cientos de direcciones en un minuto, ya que trabajan utilizando diccionarios, es decir, una lista de palabras que se suelen usar en las direcciones de correo. Estos diccionarios suelen contener campos como los siguientes:

• Alias

• Apellidos

• Iniciales

• Apodos

• Nombres de mascotas

• Marcas

• Signos del zodiaco

• Meses del año

• Días de la semana

• Nombres de lugares

• Modelos de coches

• Términos deportivos

• Etc.

Estos programas simplemente introducen datos en cada uno de estos campos e intentan varias combinaciones con todos ellos. Además añaden letras y números en las combinaciones, ya que se suelen introducir fechas de cumpleaños, edades, etc.

Para crear una dirección de correo electrónico y reducir el envío de Spam, sería conveniente no introducir campos que sean potencialmente intuíbles por el spammer.

-No publicar la dirección de correo-

No se debería anunciar la dirección de correo en buscadores, directorios de contactos, foros o páginas web. En el caso de los chat, no se debe mostrar la dirección de correo electrónico en las listas de usuarios y no se debe comunicar a desconocidos.

Cuando envíe correos en los que aparezcan muchas direcciones, envíelas usando BCC o CCO (con copia oculta) para no hacer visibles todas las direcciones.

Si es necesario facilitar la dirección de correo electrónico en alguna web, envíela en formato imagen o escriba ‘at’ o ‘arroba’ en lugar de @. De este modo se puede evitar que lo capturen los programas creadores de Spam. Asimismo, si reenvía un correo, elimine las direcciones de los anteriores destinatarios: son datos de fácil obtención por los spammers.

- Leer detenidamente las Políticas de Privacidad y las Condiciones de Cancelación.

Si se va a suscribir a un servicio on line, o a contratar un producto, revise la política de privacidad antes de dar su dirección de correo electrónico u otra información de carácter personal. Puede que esta compañía vaya a ceder los datos a otras o a sus filiales y observe que no le suscriben a boletines comerciales, por lo que es conveniente saber la política de alquiler, venta o intercambio de datos que han adoptado tanto su proveedor de acceso a Internet como los administradores de los directorios y listas de distribución donde esté incluido. Capture la pantalla y páginas en las que compra y conserve los datos identificadores.

Además, lea los mensajes sospechosos como texto y no como html y desactive la previsualización de los correos.

No dude en ejercer los derechos de acceso y cancelación sobre sus datos ante estas empresas.

-Sensibilizar a los niños sobre la utilización del correo y la mensajería instantánea-

Los niños son objetivos ideales para promocionar información sobre la composición y las prácticas de consumo del hogar. Por eso es importante recordarles algunos consejos prácticos que ayudarán a evitar que el niño aporte datos personales.

Además, mediante la dirección de correo electrónico no se puede saber quien es el destinatario de correos que pueden tener contenidos no aptos para los niños.