Publicación de sentencias y LOPD

En Resolución de 9 de mayo de 2012 de la Agencia Española de Protección de Datos, dictada en el procedimiento sancionador PS/00553/2011, se impone una multa de 4.000 euros a la empresa PYB ENTERPRISES, SL, a consecuencia de una  denuncia por la publicación en el sitio web www.paraprofesionales.com de una sentencia dictada por el Tribunal Supremo, en la que figuraban el nombre y apellidos de la denunciante y de sus progenitores. En la sentencia se declara nula una sentencia de un Tribunal Superior de Justicia  y se condena al INSALUD a indemnizar a los recurrentes al considerarle responsable de los daños causados a la denunciante durante una intervención quirúrgica y durante la cual resultó infectada de los virus del sida y de la hepatitis C, revelándose en la sentencia los detalles de las circunstancias en que se produjo la infección.

Según la citada resolución:

La colisión entre la publicidad de las sentencias y el derecho a la intimidad de las personas ya ha sido, por otra parte, analizado por el Consejo General del Poder Judicial, disponiendo en el Acuerdo de 18 de junio de 1997, por el que se modifica el Reglamento número 5/1995, de 7 de junio, regulador de los aspectos accesorios de las actuaciones judiciales, como apartado 3 del nuevo artículo 5 bis del Reglamento, que “En el tratamiento y difusión de las resoluciones judiciales se procurará la supresión de los datos de identificación para asegurar en todo momento la protección del honor e intimidad personal y familiar”.

Esta cuestión ha sido también abordada en la STS (Sala de lo Contencioso Administrativo, Sección 1º), de 3 de marzo de 1995 […].

Desde esta perspectiva, la inclusión de la sentencia citada en los Hechos Probados de esta Resolución, en Internet a través del sitio web http://www.paraprofesionales.com, propiedad de la entidad denunciada, poniéndola a disposición de sus usuarios que acceden a dicho servicio, incluyendo datos personales de la denunciante, no cumple los condicionamientos expuestos y supone una vulneración de la LOPD. […]

Cookies exentas de consentimiento

Tras el nerviosismo y las alarmas causadas por la nueva regulación de las cookies, las autoridades europeas están aclarando y emitiendo informes sobre la materia. Así, publica la Agencia Española de Protección de Datos esta NOTA DE PRENSA sobre las cookies exentas de consentimiento, según la línea interpretativa que está dando el grupo de autoridades europeas de protección de datos- Grupo de trabajo del Artículo 29.

Resumiendo, se viene a aclarar que no para todos los tipos de cookies es necesario recabar el consentimiento del usuario, sino sólo para aquellas que recopilan información que va más allá de lo estrictamente necesario para prestar el servicio en cuestión.

Cloud computing y despachos de abogados

Si eres letrado y utilizas la famosa nube o cloud computing para almacenar datos de carácter personal relacionados con tu profesión, debes tener en cuenta este INFORME elaborado por la Agencia Española de Protección de Datos y el Consejo General del Poder Judicial.

El informe se titula UTILIZACIÓN DEL CLOUD COMPUTINGO POR LOS DESPACHOS DE ABOGADOS Y EL DERECHO A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

Alta Registro AEPD

Si eres un profesional, empresario, asociación, fundación, organización, administración pública o similar y utilizas datos de carácter personal, inexcusablemente tienes que darte de alta en el Registro de la Agencia Española de Protección de Datos.

Así te lo exigen los artículos 20 y siguientes de la LOPD (según seas una entidad privada o pública, la Ley establece diferencias y especialidades).

La primera duda e inquietud que le surge a mis clientes cuando les explico esta obligación que han de cumplir, es si ellos tienen que comunicarle a la AEPD los nombres, datos y asuntos de su clientela.

La respuesta es que no.

Lo que le comunicas a la AEPD cuando te das de alta en su Registro, son tus datos profesionales (tu nombre, CIF, domicilio, teléfonos, fax e -mail corporativos), el tipo de datos que utilizas y una serie de cuestiones adicionales sobre los mismos.

Pero no tienes que enviar a la AEPD una lista con los datos específicos de tus clientes.

Es un error muy extendido.

¿Para qué iba a querer la Agencia tener ese tipo de datos?

En esto de la protección de datos pasa como con las enfermedades: siempre hay alguien que te ha dicho que el dolor de muelas se pasa poniendo los pies en alto y aplicando hielo sobre la zona...

No hagas caso de los rumores y asesórate como es debido.

Destructoras de papel

¿Debes tener destructora de papel en tu oficina?

Ningún artículo del RLOPD ni de la LOPD lo exigen expresamente, por mucho que algunos se empeñen.

El artículo 92.4 del RLOPD, indica que:

Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

Lo anterior es aplicable tanto a la documentación en papel como a los soportes digitales (CDs, DVDs, discos duros, pendrives, etc…).

Los papeles, escritos, facturas, notas, y documentos en papel, en general, que contengan datos de carácter personal que vayas a tirar a la basura, tienen que ser previamente destruidos, con objeto de que la información no resulte legible y no se puedan identificar los datos en cuestión.

Obviamente, una destructora de papel es muy útil en esta tarea. Pero también puedes destruirlos a mano. Pero ojo, eso sí: tienes que hacerlo de tal modo que los trozos sean lo suficientemente pequeños como para que no puedan ser fácilmente “recompuestos”.

Documentación bajo llave

Otra de las preguntas que me hacen con mucha frecuencia es si los documentos en soporte papel tienen que guardase bajo llave.

La respuesta nos la da el Reglamento de desarrollo de la LOPD.

Así, como medida de seguridad de nivel básico se exige que:

Artículo 107. Dispositivos de almacenamiento.

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.

El artículo 108 añade que: 

Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.

Como medida ya de nivel alto, el artículo 111 establece lo siguiente:

Artículo 111. Almacenamiento de la información.

1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

En conclusión: Sí, los documentos deben estar bajo llave, ya sea en archivadores, armarios u otros dispositivos con llave, en caso de datos de nivel básico, o –además- en áreas que tengan puertas de acceso con llave o equivalente para los datos de nivel alto.

Si no puedes adoptar estas medidas porque las características del local u otras circunstancias lo impidieran, se tendrán que adoptar medidas alternativas.

Por supuesto, el Reglamento, siempre misterioso, no nos dice a qué medida alternativas se refiere.

¿Es segura la nube?

Son muchos los clientes que me preguntan si sus datos están seguros en la nube y si su utilización permite cumplir con la Ley Orgánica de Protección de Datos, ya que cada vez son más los que realizan la copia de seguridad en ella o la utilizan para subir y/o compartir archivos.

La respuesta debe ser que nada es seguro al 100%.

No obstante, ello no quiere decir que su uso conlleve un incumplimiento de las obligaciones impuestas por la normativa de protección de datos. No debería conllevarlo.

Eso sí, hay que tomar una serie de precauciones mínimas, para no acabar utilizando los servicios de alguna empresa que no garantice ni un mínimo nivel de seguridad.

Son muy utilizados hoy día por esos mismos clientes que me consultan los servicios de Dropbox, Google Docs, o Google Drive.

Estas son las recomendaciones que debes seguir a la hora de utilizar la nube:

1. Debes elegir proveedores de servicios sobradamente conocidos y no fiarte de los desconocidos.

2. Debes mantener instalado, actualizado y operativo un buen antivirus.

3. Suscríbete a algún boletín de noticias sobre seguridad informática, que te mantendrá informado sobre cualquier brecha de seguridad que pueda haber surgido en los servicios de tu proveedor en la nube.

4. Debes guardar una copia de seguridad adicional de tus datos en tu propio ordenador, disco duro externo u otro dispositivo, para que en caso de que algo ocurriese con tu proveedor en la nube, tú no pierdas toda tu información.

Además de esto, ten en cuenta que si los servidores de tu proveedor están ubicados físicamente fuera de España (que será lo más habitual), tendrás que analizar la cuestión de la transferencia internacional de datos, que en ciertos casos, tendrá que ser comunicada a la Agencia Española de Protección de Datos, y en otros, tendrás que se solicitar incluso su autorización.

Contraseñas seguras

Es noticia en estos días el robo masivo de contraseñas en la red social profesional LINKEDIN.

Hay quien dice que la culpa es la propia red, que no cuenta con las debidas medidas de seguridad, y hay quien dice que es culpa de los descuidos de los usuarios.

El caso es que se ha hecho una “infografía” sobre las contraseñas usadas por los usuarios y se ha establecido un “top-30” de los términos más usados  y que deja entrever en muchos casos que las contraseñas elegidas no cumplen ni la más mínima condición de seguridad.

Para que una contraseña se pueda considerar relativamente segura debe contar con al menos 8 caracteres e intercalar números y letras. Si además entre unas y otras añades algún signo (puntos, comas, guiones y similares), mucho mejor.

Éstas son las contraseñas que más se utilizan en Linkedin. Como verás, algunas son tremendamente simples y obvias, y por tanto muy inseguras:

-          link

-          1234

-          work    

-          god

-          job

-          12345

-          angel

-          the

-          ilove

-          sex

-          jesus

-          connect

-          fuck

-          monkey

-          123456

-          master

-          bitch

-          duck

-          michael

-          jordan

-          dragon

-          soccer

-          killer

-          654321

-          pepper

-          devil

-          princess

-          1234567

-          iloveyou

-          career

Un poco de imaginación, señores usuarios…

Publicación fotos sin consentimiento

En resolución de 3 de febrero de 2012, de la Agencia Española de Protección de Datos, dictada en el Procedimiento nº 365/2011, se apercibe al denunciado, que publicó un libro sobre la ciudad de Benidorm, donde figuraba una fotografía de la denunciante tomada sin su consentimiento. Dicho libro también era accesible a través de la web www.benidormyes.com

Se concluye en ella que, ante la falta de acreditación por parte de la operadora del consentimiento de la denunciante para el tratamiento de sus datos personales, y ante la ausencia de cobertura legal que amparase dicho tratamiento sin consentimiento, se estima vulnerado por la entidad imputada el artículo 6.1 de la LOPD.

 Y continua diciendo la resolución que:

Abundando en este sentido, procede citar la sentencia de la Audiencia Nacional de fecha 21 de diciembre de 2001 en la que se declaraba que “de acuerdo con el principio que rige en materia probatoria (art. 1214 del Código Civil) la Agencia de Protección de Datos probó el hecho constitutivo que era el tratamiento automatizado de los datos personales de D. (…) (nombre, apellidos y domicilio), y a la recurrente incumbía el hecho impeditivo o extintivo, cual era el consentimiento del mismo.

Es decir, (...) debía acreditar el consentimiento del afectado para el tratamiento automatizado de datos personales, o justificar que el supuesto examinado concurre alguna de las excepciones al principio general del consentimiento consagrado en el art. 6.1 de la Ley Orgánica 5/1992. Y nada de esto ha sucedido”.

En consecuencia, por todo lo que antecede, se considera infringido el artículo 6.1 de la

LOPD por parte de D. A.A.A. y que es responsable de dicha infracción al artículo citado, por lo que se desestiman sus alegaciones al respecto.

El precio de un error

En resolución de 18 de marzo de 2012 de la Agencia Española de Protección de datos, dictada en el procedimiento sancionador nº 559/2011, se sanciona con 3.000 euros a O2 CENTRO WELLNESS PLENILUNIO, S.L., por haber enviado por error un fichero adjunto a través de e-mail con datos personales de 9.293 clientes. Esta empresa cumplía con sus obligaciones en materia de protección de datos y tenía implantadas las pertinentes medidas de seguridad. Sin embargo, se produce un error humano, que en ningún caso es excusable.

Puedes consultar el texto completo de la resolución AQUÍ

Estafas Google Adsense

Si tienes un blog y utilizas Google Adsense, ten cuidado: los ciberdelincuentes podrían quedarse con tus beneficios.

Una nueva forma de estafa a través de internet consiste en el robo de las comisiones generadas por el  sistema de publicidad de Google Adsense.

Pueden hacerlo robándote parte de tu código, si tu sitio es vulnerable, cambiando el código de Google Adsense y haciendo que tu página emplee el suyo, de modo que los beneficios de esa publicidad acaban en su bolsillo en lugar de en el tuyo.

Otra estafa habitual a través de Google Adsense consiste en crear una página y simular los clicks a la publicidad empleando programas que enmascaran IPs o que generan un cierto número de visitas.

Derecho de oposición

El derecho de oposición, según el artículo 34 del Reglamento de desarrollo de la LOPD, es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:

a.    Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario.

b.    Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en el artículo 51 de este reglamento, cualquiera que sea la empresa responsable de su creación.

c.    Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal, en los términos previstos en el artículo 36 de este reglamento.

Establece el artículo 35 del referido RLOPD que el derecho de oposición se ha de ejercitar mediante solicitud dirigida al responsable del tratamiento, y si la oposición se realiza con base en la letra a) del artículo 34, en la solicitud deberán hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho.

El responsable del fichero tiene un plazo de diez días para resolver sobre la solicitud de oposición. En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo.

Difusión Con Copia Oculta

Enviar e-mails con las direcciones de los destinatarios en "copia visible" es una cesión inconsentida de datos que se realiza con sorprendente frecuencia (probablemente tú lo hayas hecho más de una vez).

 Esta práctica está sancionada por la LOPD, y la Agencia Española de Protección de Datos puede multarte (mínimo, 900 euros).

Si quieres contribuir a que el mayor número posible de personas conozcan esta cuestión, es buena idea que difundas esta página web, como yo misma hago ahora aquí:

CON COPIA OCULTA 

Difusión STOP BULOS

Por desgracia, no dejan de proliferar por e-mail y otros medios, leyendas urbanas de lo más variopintas, que ni mucho menos son inocentes envíos informativos. Además de servir para crear confusión y desinformación, habitualmente se utilizan para recopilar direcciones de correo electrónico, a través de los interminables reenvíos que se hacen (y que tú mismo haces con intenciones altruistas) de las referidas leyendas.

Es muy aconsejable que todos difundamos la siguien página, a fin que se conozca la realidad y cesen estas prácticas:

STOP BULOS 

Sede electrónica de la AEPD

Desde mediados de mayo está en funcionamiento la sede electrónica de la Agencia Española de Protección de Datos, que ha ampliado los servicios que ya venía prestando a través de internet.

En palabras de la propia Agencia se ha desarrollado una plataforma que facilita a ciudadanos, empresas y administraciones la realización de trámites, el envío de solicitudes y presentación de escritos a través de Internet.

Puedes consultar AQUÍ el detalle de los servicios en cuestión.