lunes, 30 de abril de 2012

Deber de secreto

Si tratas datos de carácter personal en tu actividad profesional, estás obligado a guardar secreto sobre los mismos, por lo que su divulgación a terceros está prohibida.

Y no sólo tú tienes esa obligación, sino también tus trabajadores, e incluso después de finalizada la relación laboral o profesional contigo.

Te lo dice muy claro el artículo 10 de la LOPD:

Artículo 10. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal esten obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Derecho comparado


La protección de datos no es, por supuesto, una exclusiva del Estado español.

Muchos otros países cuentan hoy día con sus propias legislaciones sobre protección de datos de carácter personal.

Por si tienes curiosidad, he aquí una lista de algunos países con la fecha de sus primeras legislaciones sobre la materia:

      Suiza-1981.
      Gran Gretaña-1984.
      Finlandia-1987.
      Holanda-1988.
      Islandia-1989.
      Alemania-1990.
      Portugal-1991.
      España-1992.
      Grecia-1997.
      Italia-1997.

Además, también se reguló el tema en:

       - Directrices de la Organización para la Cooperación y el     Desarrollo Económico.

       - Directrices de las Naciones Unidas (Resolución 45/95, de 14 de diciembre de 1990).
       
Y en la normativa europea en:

        - Convenio 108 del Consejo de Europa.

        - Directiva 95/46/CE (Parlamento), de 24 de octubre.

        - Directiva 2002/58/CE (Parlamento), de 12 de julio.

        - Directiva 2006/24/CE (Parlamento), de 15 de marzo.

Fuera de Europa tampoco es inusual. En Estados Unidos también se desarrolla la protección de los datos personales, pero a su manera.

Por supuesto, en otros países nunca han oído hablar de esto. Ni, por desgracia, de otras muchas cuestiones.

domingo, 29 de abril de 2012

Encargados de tratamiento


La LOPD define al encargado de tratamiento en su artículo 3.g) como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Concepto que tiene que ser puesto en relación con el artículo 12 de la propia LOPD:

Artículo 12. Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Por ponerte un ejemplo real, un encargado de tratamiento o tercero con acceso a datos es por ejemplo tu asesor laboral –si lo tienes- cuando te presta el servicio de confección de nóminas, seguros sociales, contratos laborales… También lo sería tu asesor fiscal, cuando le haces entrega de tus facturas para que te haga las correspondientes liquidaciones e impuestos, o te lleve la contabilidad. Tanto uno como otro te están prestando un servicio de asesoramiento y gestión y para ello acceden a los datos de tus empleados o de tus facturas, porque lo necesitan para prestarte el servicio encomendado.

La Ley exige que este tipo de relación se rija por ciertos elementos, como su constancia por escrito o –algo muy importante- que se indiquen las medidas de seguridad que se tienen implantadas. Esto último significa que si tu asesor fiscal no está adaptado a la LOPD no puedes contratarlo, porque la Ley te exige que tú veles porque él cumpla con la normativa.

Es una cuestión que habitualmente se pasa por alto y que luego puede dar lugar a sanciones muy serias. Y te aseguro que la Agencia Española de Protección de datos no se va a dar por satisfecha porque le argumentes que en el contrato, el encargado de tratamiento declara tener implantadas todas la medidas de seguridad reglamentarias.

Así no te libras.

Cartel de videovigilancia


Muchos de mis clientes piensan que este cartel es algo que se pone en los establecimientos como elemento disuasorio para ladrones y otros delincuentes.

Están muy equivocados.

El artículo 5 de la LOPD obliga a informar sobre los derechos que amparan a todo titular de datos personales. La imagen de una persona que está siendo captada por un sistema de videovigilancia es también un dato de carácter personal, según la normativa refererida, por lo que, de algún modo, las personas cuyas imágenes están siendo recogidas por una cámara, tienen que ser informadas de sus derechos.

La  Instrucción 1/2006, de 8 de noviembre de la Agencia Española de Protección de Datos impone la obligación de colocar en un lugar visible el cartel que veis en la imagen de más arriba, así como a disponer de unos impresos donde se facilita el resto de información necesaria a los interesados.

El incumplimiento de estas obligaciones conlleva, por supuesto, sanciones que pueden ser muy elevadas.

sábado, 28 de abril de 2012

Medidas de seguridad

A la Agencia Española de Protección de Datos le gusta facilitarle la vida al ciudadano.

Por eso, en su web (www.agpd.es) podrás encontrar, entre otras cosas, un par de guías en las que se resume en qué consisten las medidas de seguridad que tienes que implantar en tus ficheros de datos y que te proporcionan un modelo de documento de seguridad (documento que estás obligado a tener en tu negocio).

Breves y sencillos manuales de instrucciones.

Aquí:


¿De verdad vas a contratar a un consultor de LOPD para esto? ¡Si esto lo puede hacer cualquiera!

Niveles de seguridad-RLOPD

El artículo 79 del Reglamento de desarrollo de la LOPD exige, a quienes traten datos de carácter personal, que implanten las medidas de seguridad que se detallan en dicho Reglamento.

Para determinar cuáles serán estas medidas, la norma distingue tres niveles de seguridad: básico, medio y alto.

Las medidas de nivel básico se aplican a todo tipo de fichero de datos.


Se aplicarán las medidas de nivel básico más las de nivel medio (son niveles acumulativos) a los siguientes ficheros:

- Los relativos a la comisión de infracciones administrativas o penales.

- Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. 

- Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

- Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

- Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

- Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Se aplicarán las medidas de nivel básico más las de nivel medio más las de nivel alto a:  

- Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

- Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

- Aquéllos que contengan datos derivados de actos de violencia de género.



viernes, 27 de abril de 2012

Copias de respaldo

¿Es siempre obligatorio hacer copias de seguridad de los datos?

En efecto. Así lo ordena el artículo 94 del RLOPD.

Si eres un empresario o profesional y tratas datos de carácter personal en tus sistemas informáticos tendrás que cumplir con lo siguiente:

1. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

2. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad.

3. El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

4. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.

jueves, 26 de abril de 2012

Cesión de datos


¿Son lícitas las cesiones de datos de carácter personal?

Como norma general, NO.

Artículo 11.1 de la LOPD:

1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

El consentimiento del propietario de esos datos, es de especial relevancia en los supuestos de cesión.

Aunque la Ley prevé excepciones a ese consentimiento en el párrafo 2 del mismo artículo 11:

2. El consentimiento exigido en el apartado anterior no será preciso:
a. Cuando la cesión está autorizada en una ley.
b. Cuando se trate de datos recogidos de fuentes accesibles al público.
c. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Por lo general, las cesiones de datos dan lugar numerosísimos problemas legales. Si se te plantea esta situación, ten mucho cuidado.

Te recomiendo que le formules consulta a la propia Agencia Española de Protección de Datos. En su web podrás encontrar los datos de contacto y las condiciones del “servicio”: www.agpd.es

Datos especialmente protegidos


A ellos se refiere el artículo 7 de la LOPD, y son datos de los siguientes tipos:

- Los de ideología, afiliación sindical, creencias y religión.

-  Los de origen racial, salud y vida sexual.

- Los relativos a la comisión de infracciones penales o administrativas.


Estos datos son objeto de una mayor protección por parte de LOPD.

Así, por ejemplo, para el tratamiento de algunos de ellos se exige el consentimiento previo, expreso y por escrito de su titular.

Además, quienes usen este tipo de datos en su negocio o actividad profesional, tendrán que implantar medidas de seguridad adicionales para garantizar su integridad, disponibilidad y confidencialidad.

Derecho de información LOPD


A todas aquellas personas a las que se les recojan datos de carácter personal, deberán ser informadas de modo expreso, preciso e inequívoco de lo siguiente (artículo 5.1 de la LOPD):


1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.


A ser posible, que conste por escrito y con aceptación del titular de los datos, acreditada con su propia firma.

miércoles, 25 de abril de 2012

Ojo con las cookies


Desde abril de 2012 está vigente el REAL DECRETO-LEY 13/2012, DE 30 DE MARZO, POR EL QUE SE TRANSPONEN DIRECTIVAS EN MATERIA DE MERCADOS INTERIORES DE ELECTRICIDAD Y GAS Y EN MATERIA DE COMUNICACIONES ELECTRÓNICAS, Y POR EL QUE SE ADOPTAN MEDIDAS PARA LA CORRECCIÓN DE LAS DESVIACIONES POR DESAJUSTES ENTRE LOS COSTES E INGRESOS DE LOS SECTORES ELÉCTRICO Y GASISTA.

Con él, se han introducido modificaciones en el régimen legal de las cookies, tan frecuentes hoy día en la navegación web.

Si tienes una página web que las utiliza, debes prestar atención.

El referido Real Decreto ha modificado la redacción del artículo 22.2 de la LSSI, que quedaría del siguiente modo:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente”

La forma exacta de aplicar esta norma aún está por ver y habrá que estar a lo que dice la Administración, pero es muy probables que te tengas que ir planteando hacer algunos cambios.




¿Mi blog necesita aviso legal?


Es que os encanta escucharme:

           - Pues DEPENDE, oiga. Pues depende.

En resumidas cuentas puede decirse que, si gracias  a tu blog obtienes algún tipo –directo o indirecto- de beneficio económico, tendrás que adaptarlo a la LSSI y por tanto insertarle el correspondiente aviso legal.

En caso contrario, no.

¿Y si en mi blog me dedico única y exclusivamente a contar las peripecias diarias de mis asuntos personales, pero tengo algún banner publicitario de alguna empresa o profesional, aunque no tengan nada que ver conmigo?

Pues pasa que casi con toda seguridad también vas a tener que adaptarte a la LSSI, porque lo lógico es que estés cobrando por tener esa banner en tu blog y con eso ya estás obteniendo el referido beneficio económico.

Los blogs meramente personales, sin relación con actividad profesional o empresarial alguna y que no tengan ningún tipo de publicidad, quedan excluidos del ámbito de aplicación de la Ley.

Si no estás seguro, mejor infórmate, porque errores de ese tipo se pueden pagar muy caros.
Related Posts Plugin for WordPress, Blogger...