domingo, 18 de diciembre de 2011

¿Cómo afecta la LOPD a mi empresa? Resumen

El objetivo principal de la Ley Orgánica de Protección de Datos de Carácter Personal LOPD es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan (empresas, asociaciones, autónomos, administraciones, etc.).


Los ficheros más habituales a los que afecta: Clientes, proveedores, nóminas, videovigilancia, contabilidad, personal, promociones, selección de personal, curriculums, …


Las medidas a adoptar dependerán del nivel de seguridad requerido para los datos que se manejan.


¿Cómo se clasifican esos datos?


¿A qué obliga la LOPD?


1.- Inscribir aquellos ficheros que contengan datos de carácter personal en el registro de la Agencia Española de Protección de Datos.


2.- Implantar las medidas de seguridad adecuadas y elaborar un “Documento de seguridad” que describa y regule el tratamiento de los datos personales.


3.- Regular el movimiento de datos con terceros (Ej. La gestoría con la que trabajamos).


4.- Realizar una auditoría al menos cada dos años (sólo para datos de nivel medio y alto) y tener actualizado el "Documento de seguridad" para todos los niveles.


Medidas de seguridad
 




Infracciones y sanciones



A pesar de que la denuncia no puede ser anónima (hay que dar los datos y el denunciado sabe de dónde ha partido) esta puede tener varios orígenes: la propia Agencia de Protección de Datos, clientes insatisfechos, personal de la propia empresa, la competencia, o cualquier persona física que se considere afectada.



Puedes reducir los riesgos: Cumpliendo los requisitos de la LOPD con el asesoramiento de una empresa externa y formando a los empleados, que trabajen con información de carácter personal, de la importancia que tiene la gestión de esos datos.

jueves, 8 de diciembre de 2011

Se filtra la nueva ley de protección de datos. Se estan elaborando proyectos. "Ahora es el momento de aportar ideas".


De momento solo son proyectos, ahora es el momento de aportar ideas, quejas y nuevas espectativas para  tengamos una adecuada Ley de Protección de Datos.

Serán dos proyectos de instrumento legal elaborados por la Comisión Europea. Antes de que se aprueben, podrán ser comentados y modificados en un proceso legislativo de la UE que puede llevar meses a un máximo de dos o tres años para que se convierta en ley.

Estos dos proyectos de regulación serían aplicables a los 27 estados miembros y significan la primera gran respuesta a la ley que se aplica en Estados Unidos, un campo de duras medidas contra cualquier empresa que trabaje en Europa y tenga sede en Estados Unidos (o cualquier otro país fuera de Europa) enfrentándose a duras repercusiones financieras si rompen la nueva legislación.

De entre las propuestas se destaca:
  • Habrá total armonización entre todas las leyes de protección de datos en el futuro.
  • La regulación obligará a las empresas con operaciones en los estados miembros a la jurisdicción del sistema legal de los estados incluyendo sus leyes de protección de datos.
  • Empresas como Microsoft o Google, procesadoras de datos, que almacenan y gestionan datos a través de sus servicios en la nube, estarán bajo las mismas obligaciones que el resto de empresas.
  • Las compañías fuera de Europa (como Estados Unidos) seguirán estando sujetas a la legislación europea si tienen oficinas con sede en Europa o clientes europeos.
  • Se requerirá consentimiento expreso de los titulares ante cualquier tratamiento de datos de marketing.
  • El conocido como “derecho al olvido” será sancionado en Bruselas, una medida que permitirá a los usuarios eliminar sus datos privados de las empresas.
  • Si una empresa sufre una pérdida de datos o violación de los mismos, tanto la autoridad de protección de datos como los individuos deberán ser informados en 24 horas desde el descubrimiento.
  • Todas las empresas públicas o de más de 250 empleados deberán tener agentes de protección de datos internos.
Noticia

martes, 6 de diciembre de 2011

Sí, hay SANCIONES por el incumpliento de la LOPD y sus medidas de seguridad obligatorias.


La AGPD sanciona con 6000€ a un Centro Médico de Cartagena

Un centro médico es sancionado con 6000€ por hacer uso de los datos personales de un cliente de la empresa con la que se había fusionado.
El denunciante declara que ha recibido en su domicilio un escrito de un centro médico en el que se le informa de que su carnet de conducir está próximo a caducar y se le ofrecen sus servicios para gestionar la renovación del mismo. Manifiesta que no ha mantenido relación ninguna con la empresa denunciada y que desconoce cómo han obtenido sus datos personales y la fecha de caducidad de su permiso de conducir.

VER MÁS

La empresa Fundosa, sancionada con 6.000€ por difundir datos de clientes de Servicios

La Agencia de Protección de Datos sancionó en 2010 a 14 empresas en Sevilla y apercibió a tres administraciones públicas en la provincia por infringir la Ley de Protección de Datos al permitir que datos privados fueran difundidos sin consentimiento, ya fuera a través de internet o de cartas enviadas por error, entre otros medios..  
VER MÁS




Protección de Datos expedienta a la cofradía coruñesa de Cabo da Cruz.

La Agencia Estatal de Protección de Datos inició un procedimiento sancionador contra la Cofradía de Pescadores de Cabo de Cruz, en Boiro (A Coruña), por publicar en el tablón de anuncios de la lonja -de acceso público- un escrito con datos personales de las personas firmantes.
 VER MÁS


Lidl sancionada con 6.000€ por tener monitores de videovigilancia visibles.

La cadena de supermercados Lidl ha sido sancionada con 6000€  porque uno de los monitores de videovigilancia era visible por los propios clientes, lo que supone, a juicio de la Agencia Española de Protección de Datos, una vulneración de la Ley Orgánica de Protección de Datos..
VER MÁS


Otros ejemplos de sanciones

Sanción a un abogado por falta de documento de seguridad.
Denuncia: Tuvo entrada en la AGPD un escrito de D. G.G.G. en el que denuncia que el abogado D. I.I.I. (en lo sucesivo el denunciado) posee en su despacho profesional un fichero automatizado que no ha ...

Cámara de centro comercial enfocando vía pública.
Hechos: Con fecha de 3 de noviembre de 2009, tuvo entrada en la AEPD un escrito de Don A.A.A. en el que denuncia que un Centro Comercial dispone de un sistema de videovigil...


No hay obligación de consultar lista Robinson si la publicidad se dirige al cliente.
Hecho: La causa tuvo como origen la denuncia realizada por un cliente al recibir en su teléfono móvil mensajes de texto con avisos publicitarios de nuevas ofertas de productos de la empresa. En virtud...


Falta inscripción ficheros por comunidad de propietarios.
Hechos: Con fecha de 20 de noviembre de 2008 tuvo entrada en la Agencia Española de Protección de Datos un escrito de Don A.A.A. en el que denunciaba que la Comunidad de Propietarios Piscina Urbanizaci...


Sanción a Digital Distribution Management, S.L. y Lotosystems Network, S.L.
Nombre de las entidades sancionadas: Digital Distribution Management, S.L. y Lotosystems Network, S.L.
Hechos: Se presenta una denuncia contra DIGITAL DISTRUTIOn MANAGEMENT, S.L. por co...


Sanción por no poseer el consentimiento inequívoco del afectado.
Nombre de la entidad sancionada: Data Integral Action, S.L. y Grupo TV Relax Canarias, S.L. Hechos: La entidad Data Integral, cuya actividad consiste en prestar servicios de manipulación...


Sanción a Euro Hogar 94, S.L.
Nombre de la entidad sancionada: Euro Hogar 94, S.L. Hechos: La Policía Municipal de Valladolid presenta un escrito a la AEPD en la que remiten una caja conteniendo un acta policial as&i...


Sanción por recebar el consentimiento de los afectados.
Nombre de la entidad sancionada: ASOCIACIÓN INDEPENDIENTE DE LA GUARDIA CIVIL
Hechos: La revista ASOCIACIÓN INDEPENDIENTE DE LA GUARDIA CIVIL ha sido denunciada por dos empleados de d...


Sanción a REY TEX IMPORTACIONES, S.L.
Nombre de la entidad sancionada: REY TEX IMPORTACIONES, S.L
Hechos: El denunciante recibió un correo electrónico de contenido publicitario sin que la entidad denunciada facilitara la ...


Sanción al Centro Clínico La Chopera por vulneración del principio de consentimiento,
Nombre de la entidad sancionada: CENTRO CLÍNICO LA CHOPERA
Hechos: El denunciante tras la formalización de varios créditos hipotecarios con la entidad financiera LA CAIXA y la ...


Sanciones a ARVATO, COFIDIS Y REDCATS.
Nombre de la entidad sancionadora: ARVATO, COFIDIS Y REDCATS
Hechos: Tras recibir la denunciante publicidad en su domicilio a través de correo postal de la entidad COFIDIS, ésta decid...


Sanción por no recabar el consentimiento previo del afectado.
Nombre de la entidades sancionada:
ALTERNATIVA SINDICAL DE LOS TRABAJADORES DE BANCA Y EMPRESAS AUXILIARES
Hechos: Se presenta denuncia ante la Agencia tras comprobar un delegado del sindicato que ..

VER MÁS

sábado, 3 de diciembre de 2011

10 Claves para evitar sanciones en Protección de Datos (LOPD)

1. ¿Qué se considera dato de carácter personal?

Toda información relativa a la persona física es un dato personal, esto incluye, nombre, apellidos, dirección física o electrónica, teléfono, CV, imágenes, grabaciones de audio, video, etc.

2. ¿Tiene que solicitar datos de carácter personal a alguien?

Recuerde que uno de los principios básicos de la LOPD es informar sobre el uso, finalidad y derechos en la recogida de estos, así que antes de solicitar datos, asegúrese de cumplir con dichas obligaciones.

3. ¿Desea enviar un correo electrónico a varios destinatarios?
                  
Siempre que realice envíos a diferentes destinatarios, es imprescindible que la dirección de correo electrónico de estos se inserte como CCO (Copia Oculta), ya que los destinatarios no deben poder visualizar la dirección de correo electrónico de ningún otro.

4. ¿Le han solicitado datos de carácter personal de clientes, proveedores o trabajadores?

Para poder ceder datos de carácter personal a cualquiera que se los solicite, es imprescindible obtener el consentimiento del interesado, es decir, del propietario de estos. Así que recuerde, antes de ceder datos, asegúrese de que ha cumple con los preceptos legales.

5. ¿ Va a realizar un envío publicitario a sus clientes?

Si se realiza por correo electrónico tenga en cuenta que las direcciones se insertarán en CCO (Copia Oculta) y en todos los casos debemos dar la opción al cliente de oponerse a futuros envíos comerciales añadiendo una cláusula informativa que cumpla con las obligaciones de la LOPD

6. ¿Ha decidido instalar cámaras de video-vigilancia?
                          
Tenga en cuenta, que tanto la imagen como la voz se consideran datos de carácter personal, así que será necesario tanto inscribir el fichero VIDEOVIGILANCIA en la AEPD como colocar en las zonas donde se instalen las cámaras de seguridad carteles informativos.

7. ¿Ha contratado alguna empresa que preste un servicio que conlleve tratamiento de información de su entidad (Ejemplo: asesoría fiscal o laboral, empresa de PRL, etc.)?

Si ha decidido contratar un servicio en el cual se acceda a información de su entidad, es importante firmar un contrato con el prestador del servicio que regule el tratamiento de datos por parte de éste.

8. ¿Algún cliente, trabajador o proveedor le ha solicitado el borrado de sus datos o una modificación de estos?

Recuerde que cualquier persona puede ejercer una serie de derechos (acceso, rectificación, cancelación y oposición) sobre sus datos. Si se da este caso en su entidad debe dar respuesta al solicitante antes de 10 días, ya que es un requisito legal.

9. ¿Le han comunicado que no desean recibir futuros envíos comerciales?

Aunque hayan dado su consentimiento para que le enviemos publicidad, este consentimiento puede ser revocado en cualquier momento. Por esto, es importante que ante esta situación, se le comunique al cliente que no se le enviará más publicidad, lo que implica que deberemos eliminarlo de la lista de clientes con autorización para realizar envíos comerciales. Recuerde que el plazo legal de respuesta ante un ejercicio de derecho de oposición, como es este caso, es de 10 días.

10. ¿Destruye la documentación que desea tirar de modo seguro?

Recuerde que en ningún caso podrá tirar la documentación al contenedor ni a la papelera sin que haya sido previamente destruida de modo que impida el acceso a la información contenida en la misma, para ello se tendrán que utilizar trituradoras de papel o empresas especializadas en destrucción confidencial de documentos.

En ocasiones, no tenemos en cuenta las consecuencias de acciones habituales que conllevan tratamiento de datos personales, y que estas pueden desencadenar en sanciones importantes para la entidad. Los ejemplos que aparecen anteriormente son una pequeña muestra de los tipos de tratamiento que pueden recibir los datos de carácter personal, así que recuerde, antes de realizar cualquier gestión que conlleve el tratamiento de datos de carácter personal consulte con un profesional.

sábado, 26 de noviembre de 2011

Las estafas en la asesoría de protección de datos se disparan. (Informa EXPANSIÓN)

En la página 25 de su ejemplar del 25 de noviembre, Expansión publica un excelente artículo titulado “Las estafas en la asesoría en protección de datos se disparan”, escrito por Almudena Vigil.

A lo largo de la noticia, la autora se hace eco de las prácticas que el sector PROFESIONAL con mayúsculas viene denunciando sin descanso:
· Captación de clientes bajo amenaza de denuncia ante la AEPD por parte del propio asesor, que manda narices, vaya ética.
· Simulación de amparo o colaboración del supuesto profesional con la propia AEPD, a la que se presenta así como garante, con adopción en ocasiones de denominaciones sociales o comerciales muy similares a la del ente de control, precisamente para generar confianza en los posibles clientes,
· Competencia desleal.
· Baja calidad en muchas ocasiones de los servicios prestados.
· Empleo de fondos públicos, los destinados a los programas de formación tutelados por la Fundación Tripartita, para financiar proyectos de implantación de la normativa y no para formación.
La publicación de este artículo por parte de Expansión sin duda constituye, por el marcado carácter empresarial/profesional de sus lectores, víctimas potenciales de esos servicios fraudulentos, un importante avance en la lucha contra las prácticas que se ponen de manifiesto en la noticia, logrando de manera directa advertir a aquellos sobre su existencia y sobre las consecuencias de ceder a la tentación.



viernes, 14 de octubre de 2011

Claves para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral.


La Asociación Profesional Española de la Privacidad (APEP), ha publicado en su web una Guía para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral. Con ánimo divulgatorio, transcribo el texto completo de dicha noticia disponible en su web:

“Ante la reiterada preocupación del sector profesional de la privacidad sobre la existencia de prácticas inadecuadas de consultoría la Asociación Profesional Española de Privacidad ha elaborado un conjunto de recomendaciones básicas que permitirán a las organizaciones privadas y públicas identificar cuando se les ofrece un asesoramiento adecuado.
Antes de contratar un proyecto de consultoría para implementar el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal tenga en cuenta que:
  • Adaptarse para cumplir la normativa requiere la implicación del cliente además del trabajo del consultor. Tanto la adecuación a la LOPD como mantener este cumplimiento legal en el tiempo requiere que el cliente esté concienciado; incluso es necesario que determinadas personas de la organización intervengan activamente en el proyecto.
Si en el proyecto sólo trabaja y se compromete la consultora, si le ofrecen un documento para que lo firme sin haber estudiado su empresa es muy posible que NO ESTEMOS ANTE UN BUEN PROYECTO.
  • El cumplimiento no es algo puntual, la normativa exige mantenerlo en el tiempo. Si todo el proyecto se ciñe a la entrega de una documentación tras rellenar unos cuestionarios, y no se definen acciones que han de tener su continuidad en el tiempo, definitivamente NO ESTAMOS ANTE UN BUEN PROYECTO.
  • Un asesoramiento adecuado debe incorporar un capítulo adecuado de formación de calidad y de concienciación al personal. Las formas de llevar a cabo la formación pueden ser diversas pero deben permitir contestar afirmativamente a las siguientes cuestiones:
– ¿Incluye medidas para que los usuarios tomen conciencia de la importancia del derecho fundamental a la protección de datos personales?
– ¿Precisa las obligaciones impuestas por la normativa y cómo cumplirlas?
– ¿Transmite las consecuencias de su incumplimiento?
Si la respuesta es negativa, NO ESTAMOS ANTE UN BUEN PROYECTO.
  • La adaptación puede suponer cambios. Si tras el análisis de su organización no se han identificado las buenas prácticas y no se han propuesto correcciones a las que pudieran ser inadecuadas NO ESTAMOS ANTE UN BUEN PROYECTO.
  • La aplicación de la LOPD nunca es teórica, no existen recetas de “copiar pegar”, no basta con marcar cruces en un cuestionario, debe adaptarse a la realidad específica de la organización.Con independencia del procedimiento utilizado, su asesor debe conocer en profundidad su empresa u organización visitándola físicamente si procede, y lo habitual es que así sea si se quiere diseñar medidas de seguridad en relación con el entorno físico. Si Vd. no percibe ese interés en indagar sobre el funcionamiento real de la organización en todos los ámbitos afectados por el alcance del trabajo solicitado (físico, informático, de gestión, etc.) NO ESTAMOS ANTE UN BUEN PROYECTO.
  • Debe exigirse al consultor formación específica especializada: La recogida de información debe realizarla una persona con formación cualificada. Se requieren conocimientos tanto en el ámbito jurídico como tecnológico y organizativo.  Cuando nuestro interlocutor en la consultora no reúna estos requisitos, NO ESTAMOS ANTE UN BUEN PROYECTO.
  • El objetivo a perseguir ha de ser la adecuación plena, por tanto, el proyecto debe ofrecer acciones que persigan un cumplimiento real no sólo formal. No podemos conformarnos con un documento de seguridad “para archivar” o un conjunto de medidas de seguridad “pendientes de implementación” como meras recomendaciones en el mejor de los casos. La plena adaptación no concluye hasta que las medidas se hayan implementado y verificado su eficacia. En caso contrario, NO ESTAMOS ANTE UN BUEN PROYECTO.
  • Ofrecer un servicio de consultoría tiene costes., En ocasiones, nos ofrecen un proyecto de adaptación a la LOPD con anuncios como “esto no nos va a costar nada, o casi nada, ya que aprovecharemos una subvención de otra cosa para pagarlo”. El asesoramiento jurídico y técnico no puede venderse a 2X1. Si Vd. es empresario, si administra una organización sabe perfectamente que ofrecer dos servicios por uno, y generalmente a precios por debajo de los del mercado es un negocio ruinoso. Cuando una empresa nos ofrezca un servicio de esta naturaleza es muy probable que nos esté animando a cometer un fraude, Si nos dicen “esto es gratis”, o “se lo regalo con un proyecto de formación subvencionada” NO ESTAMOS ANTE UN BUEN PROYECTO.
  • Si la empresa de consultoría se compromete a ofrecerle un certificado de cumplimiento desconfíe. Si obtener un certificado de calidad, como los ISO, exige una compleja labor de auditoría, ¿cómo puede Vd. creer a las consultoras que “certifican” el cumplimiento por haberlas contratado? Este certificado no lo protegerá ante malas prácticas, denuncias, inspecciones ni las sanciones que se puedan derivar. Si un proyecto le ofrece esta “garantía”, NO ESTAMOS ANTE UN BUEN PROYECTO.
  • La evolución de las TIC´s,como las aplicaciones de gestión integral, contribuyen a la mejora de la gestión empresarial, pero, al mismo tiempo, suponen flujos de información complejos que exigen adoptar medidas de seguridad adecuadas. Estos procesos deben ser analizados y documentados adecuadamente en el Documento de Seguridad, del cual se exige no solo actualización y vigencia sino también conocimiento y praxis. Cuando un proyecto no contempla los análisis técnicos adecuados que permitan reflejar las TIC y sus medidas de seguridad asociadas con el rigor exigido en la normativa, NO ESTAMOS ANTE UN BUEN PROYECTO.
  • Aunque le aseguren cubrir los daños derivados del asesoramiento o del incumplimiento de la LOPD Vd. nunca estará del todo a salvo. Aunque se contrate la cobertura de un seguro, Vd. siempre se enfrenta al riesgo que para la reputación de su organización comporta la declaración de una infracción y su sanción y publicación en la web de la AEPD. La confianza de sus clientes no la garantiza ninguna aseguradora, exige un esfuerzo cotidiano. Si su consultora no le ha advertido de la necesidad de adoptar medidas de seguimiento y control, si no le ha indicado la importancia de verificar su seguridad cíclicamente y corregir cualquier defecto o incidencia que advierta, si le garantizan que no pasará nada que “el seguro lo cubre todo” NO ESTAMOS ANTE UN BUEN PROYECTO.
Si Vd. quiere conocer las prácticas que usualmente definen un asesoramiento adecuado pinche aquí.”

sábado, 10 de septiembre de 2011

CURRICULUMS es un fichero de Nivel Medio


El principal inconveniente con el que se encuentran empresas y autónomos a la hora de adaptar sus actividades a la Ley Orgáncia de Protección de Datos es la implantación de las medidas técnicas (a diferencia de las organizativas) de seguridad en sus ficheros, de obligado cumplimiento.

Las de nivel básico pueden resultar asequibles para cualquiera, con unos mínimos conocimientos de informática, reduciéndose dichas medidas a la gestión de usuarios y contraseñas, copias de respaldo y recuperación, y poco más.

El gran problema viene dado por las medidas de nivel medio y alto, ya que la mayoria de empresas no cumple con sus obligaciones.

Las exigencias se multiplican y requieren de unos conocimientos técnicos que exigen de servicios profesionales externos. Además, una vez implantadas esas medidas de nivel medio o alto, se precisan unos controles periódicos mucho más exhaustivos.

La gran mayoría de empresas y profesionales realizan un tratamiento de datos a los que se exige un nivel de seguridad básico; aunque  en el caso de que se reciban los habituales (y más en estos tiempos) currículums. El currículum, ese escaparate personal de méritos, experiencias y logros, que en la práctica habitual llega, se ojea y se archiva, en espera de ser rescatado en algún momento de necesidad, está considerado por el Reglamento de Desarrollo de la LOPD como un fichero de nivel medio, en aplicación de su artículo 81.2 f).

Esto obliga, como hemos comentado, a adoptar una serie de minuciosas medidas de seguridad respecto de un fichero que, en la mayoría de las ocasiones, habremos creado casi de forma involuntaria (o por lo menos sin haberlo solicitado).

La Agencia Española de Protección de Datos se ha pronunciado al respecto, considerando a estos ficheros como de nivel medio en los siguientes informes:


La cuestión.

Ahora bien, el problema se encuentra principalmente en los ficheros automatizados que, por otra parte, implica el medio más común de recibir currículums: el correo electrónico.
Si recibimos currículums por correo electrónico y los archivamos (o simplemente los dejamos en nuestro software cliente ordenado según su fecha de entrada) estaríamos ante un flamante fichero de nivel medio. Conllevaría las siguientes medidas de seguridad (Título VIII, Capítulo III, Sección II, RLOPD):
- Tener un responsable de seguridad
- Realizar una auditoría cada 2 años
- Establecer un sistema de entrada y salida de soportes
- Implantar un sistema que limite el intento de accesos no autorizados
- Control de acceso físico a los lugares donde se encuentren los equipos informáticos
- Registro de incidencias más detallado
- Autorización para la recuperación de datos

Si el fichero fuera sólo manual (currículums impresos en papel), las medidas serían únicamente estas:
- Responsable de seguridad
- Auditoría

Recomendación.

Declarar el fichero. O está bien claro que las medidas más complejas resultan ser las que afectan al fichero autormatizado por lo que, si no queremos cargar con ellas, lo recomendable es imprimir en papel una copia del currículum adjunto al correo electrónico para acto seguido eliminarlo, con lo que evitamos el tratamiento del fichero automatizado y la implantación de sus correspondientes medidas.

domingo, 10 de julio de 2011

Infracciones de la Ley de Protección de Datos en la Recogida de datos personales


La Recogida de Datos Personales.

El artículo 5 de la LOPD obliga a las empresas a informar a las personas de las que recogen datos, acerca de una serie de puntos, previamente a la recogida de esos datos personales.

Los puntos sobre los que hay que informar son:


a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Lo del “previamente” se entiende a partir de un momento dado. Todavía hay muchas empresas que no cumplen la LOPD y tratan datos personales…Por tanto difícilmente han podido informar a nadie.

Desde el punto de vista de las Infracciones se distinguen dos tipos de recogida de datos:
  • Recogida de datos directamente del propio interesado. (Formularios de recogida in situ, vía web, etc.)
  • Los datos no se recogen directamente del propio interesado. (Normalmente por cesiones de datos entre empresas, un curriculum que se recibe por correo, o por email, etc.)
Las infracciones tienen lugar cuando no se informa al interesado de los puntos exigidos por la Ley de Protección de Datos Personales.
  •  Es una FALTA LEVE no informar cuando los datos se recogen directamente del interesado.

En este caso resulta muy fácil implantar el procedimiento de información y aplicarlo.

  • Es una FALTA GRAVE no informar cuando los datos no han sido recogidos directamente del interesado.

Recordar aquí que las sanciones por faltas graves empiezan en 40.000€. En este caso la empresa tiene tres meses para informar, pero se requiere bastante control interno de la situación para no olvidarse de la obligación de informar.

En el caso de que sea otra empresa la que nos ceda los datos, debemos asegurarnos de que esa empresa ha informado al interesado, en cuyo caso no lo tendremos que hacer nosotros.
  • Cuando los datos se recogen de fuentes accesibles al público ( listas de teléfonos…) y se destinen a la finalidad de publicidad o prospección comercial, no es aplicable el contenido del artículo 5 pero se debe informar al interesado en cada comunicación que se le realice de:
  • El origen de los datos.
  • La identidad y dirección del Responsable del Fichero.
  • Las finalidades del tratamiento.
  • La posibilidad del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Al poner un formulario de toma de datos en una página web
¿en qué casos basta con que haya un enlace a los textos legales y en qué otros se ha de implantar un mecanismo que asegure que han sido revisados?

"El consentimiento, salvo cuando el tratamiento se refiera a los datos especialmente protegidos, regulados por el artículo 7 de la Ley Orgánica, podrá obtenerse de forma expresa o tácita, es decir, tanto como consecuencia de una afirmación específica del afectado en ese sentido, como mediante la falta de una manifestación contraria al tratamiento, para la que se hayan concedido mecanismos de fácil adopción por el afectado y un tiempo prudencial para dar la mencionada respuesta negativa."

Por lo que, la clave está en la definición del nivel de seguridad que será de aplicación al tipo de datos recogidos.

Para datos básicos será suficiente la inclusión de un enlace que lleve a la política de privacidad o aviso legal:

En el supuesto de que la recogida  de datos se realice a través de una página web, las obligaciones a las  que acabamos de referirnos, suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser “aviso legal” o  “política de protección”. También es importante incluir algún tipo de “link” de este tipo en relación con los derechos de los interesados de rectificación, cancelación, acceso y oposición.

Sin embargo, en el caso de datos especialmente protegidos:

En cuanto al consentimiento informado, este habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia. Todo ello tiene por objeto asegurar que el consentimiento de los afectados sea efectivamente específico e inequívoco tal y como exige la Ley.

Importante en la recogida de datos personales hay que informar siempre si se van a utilizar los datos recogidos y si van a formar parte de algún fichero. Ejemplos de donde recogemos datos: presupuesto, albaranes, órdenes de reparación, inscripciones, altas,  formularios en las webs, etc.

Recomendación final: Las empresas deben mentalizarse y poner en práctica el principio de INFORMAR SIEMPRE AL INTERESADO de cualquier cosa que vaya a hacer con sus datos.

sábado, 28 de mayo de 2011

Las inspecciones y sanciones de la Agencia de Protección de Datos


En el mundo de las Pymes está claro que el cumplimiento de la LOPD no está dentro de las prioridades a corto plazo, al menos en este momento.

¿Debería estarlo?

Hay muchos empresarios, obligados a cumplir la ley de protección de datos, que desconocen por completo la existencia de la ley y por supuesto lo que deben hacer para cumplirla. En ese caso es lógico que no esté dentro de sus prioridades.

Hay otros que sí saben o han oído, a través de sus asesorías, o las Cámaras de Comercio…, que existe una ley de protección de datos que tienen que cumplir, y sin embargo pasan del tema. Al fin y al cabo la ley en su versión actual es del año 1999 y hasta ahora no ha pasado nada. Por lo tanto parece que no es muy prioritario dedicarle tiempo a ese proyecto.

La realidad es que las sanciones existen, que cada día son más numerosas, y que cada uno debe conocer y asumir los riesgos que está dispuesto a correr en su empresa. Las lamentaciones posteriores no sirven.

¿Cómo actúa la Agencia de Protección de Datos en lo referente a las sanciones?

La Agencia Española de Protección de Datos tiene la competencia para el control y vigilancia del cumplimiento de las obligaciones previstas tanto en la Ley Orgánica de Protección de Datos de Carácter Personal, LOPD, como en la La Ley 34/2002, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI).

En el caso de la LSSI conviene recordar que una de las cosas que más se persiguen y se denuncian es el envió masivo de comunicaciones electrónicas no solicitadas o SPAM.

Los procedimientos de inspección por parte de la Agencia de Protección de Datos pueden iniciarse de dos formas:

- La primera vía de actuación es la propia Agencia que actúa de oficio para inspeccionar aquellos sectores que internamente determinen. Las Pymes pueden estar tranquilas porque de momento no van a ser inspeccionadas por esta vía.

- La segunda vía de actuación es a través de las Denuncias de los propios interesados o de Asociaciones que defiendan intereses concretos de sus asociados.

Este segundo camino es el que puede afectar de lleno a las Pymes y el que supone el Riesgo verdadero de que se inicie el ciclo de inspección-sanción por incumplimiento de la LOPD o de la LSSI.

¿Quién puede formular una denuncia que afecte a una Pyme?

Un empleado o mejor ex-empleado, un cliente molesto y no satisfecho, un competidor que ha visto que no cumplimos la LOPD,…Las denuncias seguramente van a ir en aumento en la medida que las personas vayamos teniendo más conocimiento de nuestros derechos en cuanto a la privacidad de nuestros datos personales.

Lo que es importante tener en cuenta es que las sanciones son tramitadas por la Agencia, y que las sanciones pueden ser muy importantes, probablemente desorbitadas para una Pyme. Pero el tamaño de la empresa no está contemplado en la Ley de Protección de Datos para reducir las sanciones.

¿Riesgo?
El Riesgo existe y es mayor de lo que puede parecer y no parece muy recomendable aplicar la teoría de que si hasta ahora no me ha pasado nada…

Para una pyme el cumplir la Ley de Protección de Datos supone muy poca dedicación de tiempo y un coste muy bajo totalmente asumible.

¿Merece la pena correr riesgos innecesarios?



Sanciones de 900 a 600.000€

Las sanciones existen.
 
También debe destacarse el incremento del 75% de denuncias respecto a años anteriores.

viernes, 8 de abril de 2011

Convenció 2011 SOLUZION DIGITAL, Central de Compras y Servicios de Informática.


 Central de Compras y Servicios de Informática

 
Los días 6-7 de abril se  realizo la CONVENCIÓN ANUAL NACIONAL 2011 de SOLUZION DIGITAL (Central de compras y servicos de Informática) en el HOTEL PORTA FIRA de Barcelona, con  aproximadamente unos 200 asistentes, profesionales de toda España. La Convención se caractizo por una perfecta organización, dinamismo en las presentaciones y realmente ofrecer a los asociados servicios, proveedores, con los que realizar negocio.  Donde presentamos nuestros productos y servicios enfocados a la PROTECCIÓN DE DATOS PERSONALES (LOPD), SEGURIDAD informática y BACKUP ON LINE.


QUIENES SON:          SoluzionDigital  Visitar web.

Es el GRUPO más grande en  asociados independientes del sector INFORMÁTICO de España. Ponem al alcance de  sus asociados las herramientas más innovadoras del mercado con el fin de poder aumentar el servicio a los clientes, las herramientas más modernas en marketing, diversificación del negocio y aumento de la rentabilidad.

La función de Soluzion Digital va más allá del servicio:
 •Cierran acuerdos preferentes con:
–Mayoristas
–Fabricantes
–Empresas de Servicios
•Apoyam acciones de:
–Compra y Venta
–Marketing
–Imagen

Actualmente cuenta con unos 250 asociados en todo el territorio nacional.
 
Presentamos el CONVENIO DE COLABORACIÓN para comercializar y también para uso propio de los distribuidores . De los productos y servicios AT-LOPD , AT- SEGURIDAD y AT-BACKUP on line, son soluciones para el cumplimiento 100% en las obligaciones delante de la LEY ORGANICA DE PROTECCIÓN DE DATOS (LOPD), sistemas de SEGURIDAD INFORMÁTICA (única en el mercado) para controlar los usuarios, control accesos, encriptación de información, etc. Y también sistema de AT-BACKUP ON LINE, servicio para copias de seguridad en línea, segura, encriptado y remota. También se realizo exposición y atención personalizada a los distribuidores, con una gran acogida y preocupación por su parte, tanto para cumplir con la normativa como para comercializar los productos.

Con aproximadamente un año relación con los asociados de Soluzión Digital, tenemos unos 50 distribuidores activos, dando servicios de LOPD, SEGURIDAD INFORMATICA y BACKUP ON LINE con nuestras AT-SOLUCIONES. Productos y servicios que van enfocados a empresas. 

Nuestro objetivo para el 2011 es aumentar considerablemente el número de asociados que comercializen nuestros productos. Realizando campañas de proximidad  y aumentando la información a los clientes finales. Ya se presento el Plan de Marketing 2011 entre ASOCIADOS y EDORTEAM.

MENSAJE IMPORTANTE


 
Solo un estudio realizado el 19,3% de las empresas tienen Registrados los Ficheros delante de la Agencia Española de Protección de Datos, información hasta 2010. Una de las obligaciones que tienen todas la empresas que tienen que cumplir con las OBLIGACIONES de la LOPD y MEDIDAS DE SEGURIDAD.

Nos que da mucho mercado, muchos clientes pendientes  por cumplir con la normativa OBLIGATORIA de  la LOPD, clientes mal asesorados, muchos que piensan que cumplen con la normativa y no cumplen. 

jueves, 10 de marzo de 2011

EDORTEAM SE HACE CARGO DE LOS PRODUCTOS Y SERVICOS L.O.P.D. QUE OFRECÍA WOLTERS KLUWER - TELESOFTWARE


WOLTERS KLUWER España viene colaborando con EDOR TEAM en la gestión conjunta de productos y servicios de la L.O.P.D.. Ambas entidades han acordado que a partir del mes de marzo 2011, EDOR TEAM se hace cargo de la continuidad de los productos y servicios L.O.P.D., dada su alta especialización en esta materia.
Este acuerdo permite garantizar la continuidad de todos los procedimientos, auditorías, consultas y soporte que hasta la fecha todos los clientes venían recibiendo y que ofrecían de forma simultánea WOLTERS KLUWERTelesoftware y EDOR TEAM.

WOLTERS KLUWER, a través de la división TELESOFTWARE, ha venido ofreciendo desde hace años a sus clientes la gestión de la LOPD en todas sus variantes: software, servicios y medidas de protección. Este compromiso, que hasta la fecha se ha cumplido escrupulosamente, ha decidido legarlo a EDOR TEAM quien se implica en el compromiso de mantener el mismo grado de cobertura que los usuarios tienen hasta la fecha, para centrarse en su negocio tradicional.

Tanto para WOLTERS KLUWER / Telesoftware como para EDOR TEAM, la finalidad última de de este acuerdo es facilitar el trabajo de las empresas y profesionales, ayudándoles a tomar las decisiones adecuadas y gestionar su trabajo de una manera eficiente.
EDOR TEAM se fundamenta en:
  •  Liderazgo y experiencia:
EDOR TEAM cuenta en la actualidad con más de 3.000 clientes y 16 años de experiencia en el desarrollo de soluciones de gestión en temas de L.O.P.D.
  •  Calidad:
EDORTEAM es un referente en el mercado y un partner reconocido en la AEPD.
  •  Soluciones integrales para la L.O.P.D:
EDOR TEAM dispone de un conjunto de aplicaciones totalmente integradas que se complementan para cumplir con las obligaciones de una Ley tan compleja como la de Protección de Datos Personales.
  •  Todo un grupo de expertos a su servicio:
EDOR TEAM cuenta con un equipo joven y preparado para atender cualquier aspecto relacionado con la L.O.P.D..
  •  Asesoramiento:
Al margen del aspecto técnico, EDOR TEAM cuenta con equipo jurídico asociado para responder adecuadamente a las nuevas necesidades que surjan en esta materia.

A partir de este acuerdo, EDOR TEAM ratifica la continuidad de las soluciones TS-LOPD y/o TS-SEGURIDAD que viene utilizando, así como el enlace con otras soluciones de que dispone.

lunes, 7 de marzo de 2011

Ley 2/2011, de 4 de marzo, de Economía Sostenible. Modificación de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

La Ley de Economía Sostenible (LES) Con esta iniciativa el Gobierno quiere contribuir a la renovación del modelo productivo de la economía española, hacia un modelo más sostenible desde el punto de vista económico, social y medioambiental.  “No hay un horizonte estratégico a largo plazo”, la nueva ley “no modifica el patrón, sino que parchea medidas para eliminar rémoras de la actividad económica”.

La Ley de Economía Sostenible con el objetivo de, según reza su artículo primero, introducir las reformas estructurales necesarias para crear las condiciones que favorezcan un desarrollo económico sostenible. Inmediatamente después el artículo segundo se encarga de aclararnos que la economía sostenible es "el patrón de crecimiento que concilia el desarrollo económico, social y ambiental en una economía productiva y competitiva que (…) permita satisfacer las necesidades de las generaciones presentes sin comprometer las posibilidades de las generaciones futuras para atender sus propias necesidades".

Hacienda deja en el limbo las mejoras fiscales de la LES en innovación y medioambiente: 
Cambio de planes. Dos de los escasos incentivos fiscales incorporados a la Ley de Economía Sostenible (LES), las mejoras previstas en las deducciones del Impuesto sobre Sociedades por inversiones en medioambiente e innovación, no serán aplicables este año, como originalmente pretendía el Ministerio de Hacienda y esperaban los potenciales beneficiarios. Una mezcla de demoras parlamentarias en la tramitación de la norma y de falta de cintura en Hacienda y el grupo parlamentario socialista para adaptarse al retraso va a provocar, si el Gobierno no  lo arregla, la deducción por inversiones en innovación para el 2011 se quede en el 8%, frente al 12% previsto, y lo que es peor: que el incentivo para actividades medioambientales sea cero, en lugar del 8% que contempla la LES. Ambas mejoras sí serán efectivas a partir de 2012, pero durante todo el presente año el pretendido impulso fiscal a la economía sostenible se quedará en el limbo, a la espera de una rectificación legal de urgencia.

La conocida como Ley Sinde, que permite el cierre de páginas web de descarga de contenidos ilegales por orden judicial, podría ser efectiva este verano, una vez quede constituida la Comisión de Propiedad Intelectual, órgano encargado de examinar las denuncias.

Tras la publicación el sábado en el BOE de la Ley de Economía Sostenible,  entra en vigor una de sus disposiciones más polémicas, la final cuadragésima tercera, más conocida como Ley Sinde, pero, tal y como adelantó la ministra de Cultura, Ángeles González Sinde, el pasado mes de febrero, ésta no estará operativa hasta el verano.

Y es que ahora el Ministerio de Cultura tiene que iniciar el desarrollo normativo de esta ley antidescargas, que incluye el reglamento y la constitución de la Comisión de Propiedad Intelectual, órgano encargado de examinar las denuncias que se presenten contra las páginas web que permitan las descargas de música, películas o libros de forma ilegal.

Economía sostenible no es lo mismo que desarrollo sostenible.
Una reflexión. Tal y como se afirma en el preámbulo, la crisis financiera y económica ha interrumpido el largo periodo de crecimiento experimentado por la economía española a lo largo de los últimos años con los conocidos efectos sobre el empleo. El conjunto de medidas y reformas que se proponen tiene como principal y casi único objetivo volver a la senda del crecimiento económico colocando a la empresa y sus agregados monetarios por delante de la persona y el medio ambiente. Queda claro por lo tanto que la elección del término economía (crecimiento) sostenible, en vez de desarrollo sostenible, no ha sido casual, aunque puede llevar a error a aquellos bien pensados que no se lean la ley.
  

La recién aprobada Ley de Economía Sostenible ha modificado finalmente, a través de su Disposición final quincuagésima octava, el Régimen sancionador de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

Los cambios fundamentales que entrán en vigor tras la publicación de la Norma en el Boletín Oficial del Estado son, en síntesis, los siguientes: 

  • Introducción de la figura del apercibimiento como alternativa a la multa, de modo que la Agencia Española de Protección de Datos puede aplicarlo de forma excepcional, no iniciando el procedimiento sancionador cuando los hechos fuesen constitutivos de infracción leve o grave y el infractor no hubiese sido sancionado o apercibido con anterioridad.
  • Eliminación o modificación de la calificación de determinadas infracciones. En concreto, la cesión de datos que no sean especialmente protegidos se tipifica como infracción grave, en lugar de muy grave, y la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 constituye una infracción leve.
  • Ampliación del número de criterios para graduar las sanciones o aplicar atenuantes. A efectos ejemplificativos, se permite graduar el importe de la sanción en función del volumen de negocio del infractor o si el mismo si acredita que tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal. En cuanto a las nuevas atenuantes cabe destacar el reconocimiento espontáneo de su culpabilidad por parte del infractor.
  • Por último, se aumenta la cuantía mínima de las sanciones correspondientes a las infracciones leves (de 601,01 a 900 Euros) y se reduce el límite superior (de 60.101,01 a 40.000 Euros).
En resumen, la reforma apuesta por incentivar los mecanismos de advertencia y seguimiento para lograr un cumplimiento real por parte de las compañías, reduciendo posiblemente la apertura de procedimientos sancionadores, a través del apercibimiento, requiriendo la adopción de las correspondientes medidas; y en caso de que se inicie el procedimiento sancionador, permite modular la imposición de multas, en la medida en que refuerza los criterios objetivos para valorar las circunstancias concurrentes en la comisión de las infracciones.



domingo, 27 de febrero de 2011

Conozca las razones por las que las empresas no cumplen la Ley de Protección de Datos


Algunas de esas razones son del tipo de “balones fuera”:
Empresas que en este momento no quieren saber nada de cumplir la LOPD, porque según los responsables tienen otras prioridades

Empresas que no quieren saber nada porque no perciben ningún riesgo por no cumplir la LOPD. Hasta que no haya más presión y más sanciones seguimos así…

Empresas que no conocen la existencia de la LOPD.
Otras son razones de tipo técnico-organizativo:
En lo referente a los ficheros: Hay muchas empresas que no analizan y definen correctamente los ficheros de datos personales que tienen. Declaran a la Agencia unos ficheros tipificados y ahí se quedan.

Respecto a la obligación de informar y de pedir consentimiento a los interesados, regularizar la cesión de datos a terceros,… muchas empresas no hacen nada de nada, y eso que éste es un punto de vital importancia dentro de la Protección de Datos.

En cuanto a las medidas de seguridad a implantar para proteger los datos personales ahí ya podemos encontrar un amplio abanico de incumplimientos, que van desde incumplimientos por el lado de las copias de seguridad, a incumplimientos por el archivo de papel, entradas y salidas de dispositivos sin la debida autorización, envíos de datos de nivel alto sin cifrar, contraseñas compartidas,….

La LOPD exige una actualización permanente que se traduce en una serie de registros y de controles como los registros de incidencias, entrada y salida de soportes que las empresas deben realizar. La realidad es que si exceptuamos las Auditoría bienales que más o menos se realizan, del resto de los registros y controles, muy poco o casi nada.

Cumplir la LOPD a una Pyme le supone muy poca dedicación de tiempo y tiene un coste bajo, perfectamente asumible y los riegos muy elevados.

Nuestro deber es informarles de los riesgos (sanciones), de que el coste de implantación es bajo y las obligaciones son perfectamente asumibles.