lunes, 30 de abril de 2012

Deber de secreto

Si tratas datos de carácter personal en tu actividad profesional, estás obligado a guardar secreto sobre los mismos, por lo que su divulgación a terceros está prohibida.

Y no sólo tú tienes esa obligación, sino también tus trabajadores, e incluso después de finalizada la relación laboral o profesional contigo.

Te lo dice muy claro el artículo 10 de la LOPD:

Artículo 10. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal esten obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Derecho comparado

La protección de datos no es, por supuesto, una exclusiva del Estado español.

Muchos otros países cuentan hoy día con sus propias legislaciones sobre protección de datos de carácter personal.

Por si tienes curiosidad, he aquí una lista de algunos países con la fecha de sus primeras legislaciones sobre la materia:

Suiza-1981.

Gran Gretaña-1984.

Finlandia-1987.

Holanda-1988.

Islandia-1989.

Alemania-1990.

Portugal-1991.

España-1992.

Grecia-1997.

Italia-1997.

Además, también se reguló el tema en:

- Directrices de la Organización para la Cooperación y el Desarrollo Económico.

- Directrices de las Naciones Unidas (Resolución 45/95, de 14 de diciembre de 1990).

Y en la normativa europea en:

- Convenio 108 del Consejo de Europa.

- Directiva 95/46/CE (Parlamento), de 24 de octubre.

- Directiva 2002/58/CE (Parlamento), de 12 de julio.

- Directiva 2006/24/CE (Parlamento), de 15 de marzo.

Fuera de Europa tampoco es inusual. En Estados Unidos también se desarrolla la protección de los datos personales, pero a su manera.

Por supuesto, en otros países nunca han oído hablar de esto. Ni, por desgracia, de otras muchas cuestiones.

domingo, 29 de abril de 2012

Encargados de tratamiento

La LOPD define al encargado de tratamiento en su artículo 3.g) como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Concepto que tiene que ser puesto en relación con el artículo 12 de la propia LOPD:

Artículo 12. Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Por ponerte un ejemplo real, un encargado de tratamiento o tercero con acceso a datos es por ejemplo tu asesor laboral –si lo tienes- cuando te presta el servicio de confección de nóminas, seguros sociales, contratos laborales… También lo sería tu asesor fiscal, cuando le haces entrega de tus facturas para que te haga las correspondientes liquidaciones e impuestos, o te lleve la contabilidad. Tanto uno como otro te están prestando un servicio de asesoramiento y gestión y para ello acceden a los datos de tus empleados o de tus facturas, porque lo necesitan para prestarte el servicio encomendado.

La Ley exige que este tipo de relación se rija por ciertos elementos, como su constancia por escrito o –algo muy importante- que se indiquen las medidas de seguridad que se tienen implantadas. Esto último significa que si tu asesor fiscal no está adaptado a la LOPD no puedes contratarlo, porque la Ley te exige que tú veles porque él cumpla con la normativa.

Es una cuestión que habitualmente se pasa por alto y que luego puede dar lugar a sanciones muy serias. Y te aseguro que la Agencia Española de Protección de datos no se va a dar por satisfecha porque le argumentes que en el contrato, el encargado de tratamiento declara tener implantadas todas la medidas de seguridad reglamentarias.

Así no te libras.

Cartel de videovigilancia

Muchos de mis clientes piensan que este cartel es algo que se pone en los establecimientos como elemento disuasorio para ladrones y otros delincuentes.

Están muy equivocados.

El artículo 5 de la LOPD obliga a informar sobre los derechos que amparan a todo titular de datos personales. La imagen de una persona que está siendo captada por un sistema de videovigilancia es también un dato de carácter personal, según la normativa refererida, por lo que, de algún modo, las personas cuyas imágenes están siendo recogidas por una cámara, tienen que ser informadas de sus derechos.

La Instrucción 1/2006, de 8 de noviembre de la Agencia Española de Protección de Datos impone la obligación de colocar en un lugar visible el cartel que veis en la imagen de más arriba, así como a disponer de unos impresos donde se facilita el resto de información necesaria a los interesados.

El incumplimiento de estas obligaciones conlleva, por supuesto, sanciones que pueden ser muy elevadas.

sábado, 28 de abril de 2012

Medidas de seguridad

A la Agencia Española de Protección de Datos le gusta facilitarle la vida al ciudadano.

Por eso, en su web (www.agpd.es) podrás encontrar, entre otras cosas, un par de guías en las que se resume en qué consisten las medidas de seguridad que tienes que implantar en tus ficheros de datos y que te proporcionan un modelo de documento de seguridad (documento que estás obligado a tener en tu negocio).

Breves y sencillos manuales de instrucciones.

Aquí:

https://www.agpd.es/portalwebAGPD/canalresponsable/guia_documento/index-ides-idphp.php

¿De verdad vas a contratar a un consultor de LOPD para esto? ¡Si esto lo puede hacer cualquiera!

Niveles de seguridad-RLOPD

El artículo 79 del Reglamento de desarrollo de la LOPD exige, a quienes traten datos de carácter personal, que implanten las medidas de seguridad que se detallan en dicho Reglamento.

Para determinar cuáles serán estas medidas, la norma distingue tres niveles de seguridad: básico, medio y alto.

Las medidas de nivel básico se aplican a todo tipo de fichero de datos.

Se aplicarán las medidas de nivel básico más las de nivel medio (son niveles acumulativos) a los siguientes ficheros:

- Los relativos a la comisión de infracciones administrativas o penales.

- Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.

- Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

- Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

- Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

- Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Se aplicarán las medidas de nivel básico más las de nivel medio más las de nivel alto a:

- Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

- Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

- Aquéllos que contengan datos derivados de actos de violencia de género.

viernes, 27 de abril de 2012

Copias de respaldo

¿Es siempre obligatorio hacer copias de seguridad de los datos?

En efecto. Así lo ordena el artículo 94 del RLOPD.

Si eres un empresario o profesional y tratas datos de carácter personal en tus sistemas informáticos tendrás que cumplir con lo siguiente:

1. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

2. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad.

3. El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

4. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.

jueves, 26 de abril de 2012

Cesión de datos

¿Son lícitas las cesiones de datos de carácter personal?

Como norma general, NO.

Artículo 11.1 de la LOPD:

1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

El consentimiento del propietario de esos datos, es de especial relevancia en los supuestos de cesión.

Aunque la Ley prevé excepciones a ese consentimiento en el párrafo 2 del mismo artículo 11:

2. El consentimiento exigido en el apartado anterior no será preciso:

a. Cuando la cesión está autorizada en una ley.

b. Cuando se trate de datos recogidos de fuentes accesibles al público.

c. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Por lo general, las cesiones de datos dan lugar numerosísimos problemas legales. Si se te plantea esta situación, ten mucho cuidado.

Te recomiendo que le formules consulta a la propia Agencia Española de Protección de Datos. En su web podrás encontrar los datos de contacto y las condiciones del “servicio”: www.agpd.es

Datos especialmente protegidos

A ellos se refiere el artículo 7 de la LOPD, y son datos de los siguientes tipos:

- Los de ideología, afiliación sindical, creencias y religión.

- Los de origen racial, salud y vida sexual.

- Los relativos a la comisión de infracciones penales o administrativas.

Estos datos son objeto de una mayor protección por parte de LOPD.

Así, por ejemplo, para el tratamiento de algunos de ellos se exige el consentimiento previo, expreso y por escrito de su titular.

Además, quienes usen este tipo de datos en su negocio o actividad profesional, tendrán que implantar medidas de seguridad adicionales para garantizar su integridad, disponibilidad y confidencialidad.

Derecho de información LOPD

A todas aquellas personas a las que se les recojan datos de carácter personal, deberán ser informadas de modo expreso, preciso e inequívoco de lo siguiente (artículo 5.1 de la LOPD):

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

A ser posible, que conste por escrito y con aceptación del titular de los datos, acreditada con su propia firma.

miércoles, 25 de abril de 2012

Ojo con las cookies

Desde abril de 2012 está vigente el REAL DECRETO-LEY 13/2012, DE 30 DE MARZO, POR EL QUE SE TRANSPONEN DIRECTIVAS EN MATERIA DE MERCADOS INTERIORES DE ELECTRICIDAD Y GAS Y EN MATERIA DE COMUNICACIONES ELECTRÓNICAS, Y POR EL QUE SE ADOPTAN MEDIDAS PARA LA CORRECCIÓN DE LAS DESVIACIONES POR DESAJUSTES ENTRE LOS COSTES E INGRESOS DE LOS SECTORES ELÉCTRICO Y GASISTA.

Con él, se han introducido modificaciones en el régimen legal de las cookies, tan frecuentes hoy día en la navegación web.

Si tienes una página web que las utiliza, debes prestar atención.

El referido Real Decreto ha modificado la redacción del artículo 22.2 de la LSSI, que quedaría del siguiente modo:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente”

La forma exacta de aplicar esta norma aún está por ver y habrá que estar a lo que dice la Administración, pero es muy probables que te tengas que ir planteando hacer algunos cambios.

¿Mi blog necesita aviso legal?

Es que os encanta escucharme:

- Pues DEPENDE, oiga. Pues depende.

En resumidas cuentas puede decirse que, si gracias a tu blog obtienes algún tipo –directo o indirecto- de beneficio económico, tendrás que adaptarlo a la LSSI y por tanto insertarle el correspondiente aviso legal.

En caso contrario, no.

¿Y si en mi blog me dedico única y exclusivamente a contar las peripecias diarias de mis asuntos personales, pero tengo algún banner publicitario de alguna empresa o profesional, aunque no tengan nada que ver conmigo?

Pues pasa que casi con toda seguridad también vas a tener que adaptarte a la LSSI, porque lo lógico es que estés cobrando por tener esa banner en tu blog y con eso ya estás obteniendo el referido beneficio económico.

Los blogs meramente personales, sin relación con actividad profesional o empresarial alguna y que no tengan ningún tipo de publicidad, quedan excluidos del ámbito de aplicación de la Ley.

Si no estás seguro, mejor infórmate, porque errores de ese tipo se pueden pagar muy caros.

¿Quien soy?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿Cuál es mi titulación?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero...).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

¿Tengo sellos?

Sin duda, a estas alturas de mi blog, te estarás preguntando si tengo un sello de calidad, medio ambiente o seguridad de la información, que como bien sabes garantiza la calidad de mis procesos de trabajo, contraseñas y lo limpia que tengo la escobilla del wáter, sobre todo el día que viene el auditor a renovarme el sellito, que es el único día que cumplo los procedimientos y los falsifico en un 99,9% para que el muy tonto me siga permitiendo exhibirlo y me cobre mi cuota anual ( y de paso él también pueda seguir cobrando)... Pues sí, tengo un sello (además, otorgado por el mismísimo Rey), por si quieres verlo:

¿Soy "miembrode"?

Y si eres de los que hila aún más fino, también te asaltarán las dudas sobre si soy miembro de alguna Fundación, Asociación, o ente corporativo que aúne a profesionales como yo.

Pues no. No soy “miembrode”. Lo he sido durante muchos años, pero ahora soy un "espíritu libre de".

Ser “miembrode” significa pagarle a otro X euros todos los meses a cambio de que te deje exhibir su logo, imagen y usar su sistema de trabajo y sus precios. Hablando en plata: una franquicia.

Me encanta la comida que ponen en montones de franquicias de restauración y me parecen negocios estupendos, en la mayoría de los casos.

Pero lo de los temas jurídicos es distinto, y los "miembrosde" y las franquicias no me convencen nada, la verdad. Ellos lo llaman cuestión de imagen, y calidad y excelencia de sus "miembrosde".

Yo lo llamo tomadura de pelo.

Sí. Otra.