El 27 de enero se celebra, por sexta ocasión, el ‘Día Internacional de la Protección de los Datos Personales’. Aunque es una iniciativa creada por el Consejo de Europa y la Comisión Europea y celebrada en 27 países de esa región, también se celebra en países como Estados Unidos, Canadá, México y Colombia.
La protección de datos se erige como un derecho que se transforma en ”elemento capital de la libertad del ciudadano en la sociedad de la información y de la comunicación”, de acuerdo con el profesor Stefano Rodotà.
En el mundo digital en el que estamos inmersos, la INFORMACIÓN se convierte en un poderoso insumo que requieren terceros para cualquier actividad. Información como nuestro nombre, fecha de nacimiento, dirección de correo electrónico, números telefónicos o de cuentas bancarias y otros datos personales también se constituyen como la materia prima de acciones fraudulentas o cibercrímenes, comohackeo, robo de dinero, suplantación de identidad, ciberacoso, etc.
El ‘Día Internacional de la Protección de los Datos Personales’ busca convocar a personas de diversas partes del mundo para que se unan e inviten a sus amigos, familiares y conocidos a tomar conciencia sobre la importancia de proteger su información y su privacidad, y con ello conocer sus derechos y responsabilidades en esta materia.
Fuente: Pulsosocial
La Agencia Española de Protección de Datos ha editado recientemente una nueva versión de la Guía de Recomendaciones a usuarios de Internet.
En ella nos recuerda la necesidad de respetar los derechos de los demás cuando se utilicen aplicaciones que permiten publicar datos personales, videos o fotos, e incluye un apartado específico sobre el uso de Internet por los menores, recalcando la importancia de educarles en un uso seguro de Internet y de adoptar medidas de seguridad.
La Guía recoge 12 campos de la Red en los que los usuarios pueden estar expuestos a riesgos -como las redes P2P, los buscadores, las videocámaras en Internet y las redes sociales- y aporta recomendaciones para prevenirlos.
Entre las recomendaciones contenidas en la guía, cabe destacar las siguientes:
La guía se puede descargar desde este enlace.
Fuente: Procedimienmtos Telemáticos
BBVA deberá hacer frente a una multa de 60.101,21 euros por el abandono de cientos de documentos confidenciales en un descampado anexo al polígono industrial de San Cristóbal, hecho que fue revelado por EL MUNDO en su edición del 6 de febrero de 2006.Más de dos años después, la Agencia de Protección de Datos sanciona al banco por una “clara conducta negligente” en su obligación de custodiar información privada de los clientes, pero le impone la menor cuantía establecida para este tipo de infracciones (consideradas graves y que pueden acarrear multas de hasta 300.000 euros) al no percibir intencionalidad por parte de la entidad.
La resolución, firmada la pasada semana y sobre la que BBVA ya ha presentado recurso, imputa al banco un incumplimiento de las medidas de seguridad exigidas en la legislación vigente (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos) y que, como consecuencia, dejaron al alcance de terceros el acceso a datos personales y financieros de sus clientes.
Entre la información abandonada, contenida en bolsas de basura esparcidas en un montículo lleno de escombros, se encontraban numerosos documentos, desde extractos de cuentas bancarias hasta contratos de apertura de cartillas, solicitudes de créditos y productos financieros, declaraciones de la renta, fotocopias de DNI y correos electrónicos remitidos entre empleados.
La mayoría de ellos aparecieron íntegros, sin ni siquiera destruir, y todos procedían de dos oficinas: la sede central de la calle Duque de la Victoria y la sucursal ubicada en la calle Turquesa. Los papeles hacían referencia a movimientos de cientos de particulares y empresas, tanto de Valladolid como del resto de Castilla y León, así como de instituciones públicas como ayuntamientos de la Comunidad o la propia Administración regional.
La Agencia de Protección imputa la infracción al banco pese a que la empresa de limpieza que tenía contratada reconoció su actuación negligente al hacerse cargo de documentos destinados a su destrucción (de esa tarea se encargaba otra empresa) y depositarlo en dicho descampado, cuando, en todo caso, su destino hubiera sido el vertedero municipal de la carretera de León.
De hecho, Pedro Luis Navarro, entonces responsable de la contrata, (Clisa, que en este tiempo ha sido adquirida por una multinacional) admitió a EL MUNDO su “culpa” en lo sucedido, y atribuyó el error “aislado” a un empleado que días antes había dejado su trabajo. Como era de imaginar, en aquel momento BBVA y Clisa rescindieron el contrato de adjudicación de limpieza.
En esta autoinculpación de la adjudicataria se apoyan los argumentos de los servicios jurídicos del banco, que resaltaron su “desacuerdo” con la resolución sancionadora y han recurrido al considerar el fallo “un error, toda vez que la empresa destructora de papel había reconocido ser la única responsable de tales hechos, exculpando por tanto de todo ello a BBVA“.
En las alegaciones presentadas durante el procedimiento, el banco solicitó el archivo de la causa “dada su falta de intencionalidad” y poniendo el acento en su rápida reacción al tener constancia de los hechos.
BBVA achacó lo ocurrido a “una incidencia fortuita” por “la equivocación por parte del operario de la limpieza, confundiendo lo que era simple basura con documentación destinada a su destrucción”.
La resolución, sin embargo, rechaza las alegaciones de BBVA al destacar que el contrato de prestación de servicios con Clisa “consistente en la limpieza de los edificios, no contiene cláusula alguna relativa al tratamiento de datos de carácter personal por parte” de la adjudicataria.
Protección de Datos imputa una “falta de diligencia exigible a BBVA”, que, según la resolución, vulneró así la confidencialidad de dicha información. Concluye que el banco es responsable de los datos y a la entidad bancaria corresponde adoptar todas las medidas de seguridad para que no se produjera un acceso indebido a éstos.
Señala también que BBVA incumplió su propia normativa interna, en la que obliga a la destrucción dentro de sus edificios de toda documentación con datos personales de los clientes, y que también prohibe expresamente tirar documentación con datos a la basura, “con lo que dichos documentos nunca debieron ser accesibles por el personal de Clisa”.
La Agencia abrió una investigación de oficio al tener constancia de los hechos en febrero de 2006 y se puso en contacto con EL MUNDO para solicitar pruebas. El procedimiento comenzó con la comprobación de los hechos. Los inspectores comprobaron en las oficinas de BBVA que la información contenida en los documentos constaban en el sistema de información de clientes de la entidad bancaria. A la vista de las actuaciones previas de investigación se acordó iniciar el procedimiento sancionador que acaba de concluir.
Fuente: portalmundos.com
El tratamiento de los datos personales se reforzará a partir de mañana con la entrada en vigor del nuevo reglamento que desarrolla la Ley de Protección de Datos, una legislación que obligará a las empresas a proteger todos los archivos aunque no estén automatizados, como los ficheros de papel.
El director de la Agencia Española de Protección de Datos (AEPD), Artemi Rallo, aseguró que el nuevo Reglamento proporciona «más seguridad jurídica» a los ciudadanos, pero también a los que tienen que aplicarlo (instituciones, empresas o particulares).
Entre las novedades del nuevo reglamento, Rallo citó la prohibición de obtener datos de menores de 14 años, salvo que cuenten con la autorización de un representante legal (padres o tutores), y en ningún caso se podrán además recabar datos de su entorno familiar como los relacionados con la situación económica.
El director de la AEPD subrayó la importancia de esta prohibición, y observó, por ejemplo, que los menores de 14 años son usuarios habituales de internet y que han proliferado páginas web infantiles.
El reglamento que entra mañana en vigor establece reglas adicionales en los ficheros de morosos, indicó Artemi Rallo, y precisó que éstas impedirán que se mantenga en esos ficheros a personas que no deben estar porque ya han saldado su deuda.
En materia de mercadotecnia establece un nuevo régimen para los «ficheros de autoexclusión», conocidos como ficheros «Robinson», en los que se apuntan aquellas personas que expresamente manifiestan que no quieren recibir ningún tipo de publicidad, y que deberán ser a partir de ahora consultados por quienes pretendan recabar sus datos para no incorporarlos a sus listados de publicidad.
El director de este organismo informó además de que se refuerza la seguridad de los ficheros sobre violencia de género (estos ficheros pasan de un nivel básico de seguridad a un nivel alto), la de los ficheros con datos de tráfico y localización de comunicaciones electrónicas, los que obran en poder de la seguridad social, y aquellos que permiten definir perfiles, como los que obran en poder de los departamentos de recursos humanos.
Artemi Rallo se refirió además a la transferencia de datos a otros países, y precisó que el reglamento prohíbe trasferirlos a un país que no tenga un nivel adecuado de protección.
Sobre la asistencia sanitaria explicó que la regla permite el intercambio de datos para facilitar la gestión entre administraciones y comunidades autónomas y posibilitar que un usuario pueda ser atendido en cualquier parte de España.
Aunque la norma no se puede aplicar a personas fallecidas, sí prevé que sus familiares puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de los datos.
Para garantizar el derecho de las personas a controlar la exactitud y utilización de sus datos personales, los interesados podrán acceder, rectificar o cancelar sus datos a través de un medio sencillo y gratuito.
El nuevo reglamento presta especial atención a los ficheros no informatizados, como los de papel, para que se garantice la confidencialidad y la integridad de los datos que contienen.
Los armarios y los archivadores donde estén almacenados esos datos tendrán que disponer de mecanismos adecuados de cierre que impidan el acceso a la documentación por personas no autorizadas, y mientras la documentación no esté archivada la persona que esté a su cargo deberá custodiarla e impedir que accedan a ella personas no autorizadas.
Fuente: Soitu.es
Bajo licencia Creative Commons
De nuevo una sanción al Corte Inglés (¿quién le cobra la consultoría a estos muchachos?), pero que resulta interesante porque corresponde a la adopción de un avance tecnológico que como todos comienza por la gran empresa y con el tiempo alcanza a todo el entramado empresarial: en este caso la firma sobre tabletas electrónicas.
En el procedimiento sancionador PS/00063/2007, instruido por la Agencia Española de Protección de Datos a la entidad EL CORTE INGLES S.A.,
(…)
denuncia que con fecha 27/03/2005 realizó una compra en un establecimiento comercial de la marca Opencor y que al abonar la compra mediante tarjeta bancaria de pago tuvo que firmar sobre una tableta electrónica que permite capturar y almacenar la firma. Señala que no prestó su consentimiento para el tratamiento informático de su firma y que solicitó una hoja de reclamaciones para presentar también una reclamación en el Departamento de Consumo.
En su defensa los abogados del Corte Inglés intentan crear un embrollo jurídico entre responsables y encargados del tratamiento, argumentan que ha prescrito y hasta que la abuela fuma eso que ya sabes, pero la Agencia con ese característico estilo suyo tan lacónico lo cuenta así:
HECHOS PROBADOS
PRIMERO: Con fecha 27/03/2005, D. J.P.G. realizó una compra en un establecimiento comercial de la marca Opencor, abonándola mediante tarjeta bancaria de pago (folio 3). Para ello firmó sobre una tableta electrónica que capturó y almacenó su firma (folio 21).
SEGUNDO: En el ticket de compra que firmó D. J.P.G. contenía sus apellidos, firma, número de su tarjeta y detalle de los productos adquiridos (folio 3 y 21).
TERCERO: Tales datos se almacenaron en el fichero denominado “Clientes Otras Tarjetas Externas” sin que hayan sido cancelados (folios 20 y 21),
CUARTO: El fichero “Clientes Otras Tarjetas Externas” se encuentra inscrito en el Registro General de Protección de Datos y su responsable es el Corte Inglés, S.A. (folios 54 y 55).
QUINTO: La marca comercial Opencor pertenece a la entidad Tiendas de Conveniencia, S.A., esta entidad no tiene inscrito ningún fichero de clientes en el registro General de Protección de Datos (folios 56).
SEXTO: En el ticket de compra que firmó D. J.P.G. no contenía ninguna información relativa al tratamiento informatizado de su firma (folios 3 y 21).
SÉPTIMO: Tiendas de Conveniencia, S.A. y el Corte Inglés, S.A. firmaron, con fecha 31/12/2004, un contrato de prestación de servicios informáticos en virtud del cual Tiendas de Conveniencia, S.A. encomienda a el Corte Inglés, S.A. la prestación de los servicios informáticos que se constituye en encargado del tratamiento (folios 17 a 19).
y deja muy claro dónde está la infracción:
En este caso, el denunciante abonó una compra realizada en las tiendas Opencor mediante una tarjeta bancaria de pago, siendo almacenados los datos contenidos en el ticket de compra junto con su firma en el fichero “Clientes otras tarjetas externas”, sin haber sido informado ni prestado su consentimiento.
El denunciante debió ser informado de que se iban a recabar más datos de los estrictamente necesarios para que se realice la transacción comercial.
El titular de una tarjeta bancaria sabe, porque así fue informado por la entidad emisora de la tarjeta de débito o crédito, en el momento de la firma del contrato, que el establecimiento en el que realiza una compra con tarjeta almacenará determinados datos que serán trasmitidos a la entidad bancaria y que son necesarios para la realización de la transacción comercial. El titular de la tarjeta únicamente presta su consentimiento para que el establecimiento comercial capture los datos necesarios para la transacción comercial.
Sin embargo, en el supuesto examinado, se almacenaron en el aludido fichero datos adicionales que no son necesarios para la transacción comercial y respecto de los cuales el denunciante no había prestado su consentimiento, por lo que ha de entenderse infringido el artículo 6.1 de la LOPD.
Y por si quedaban dudas al final lo resume así:
En conclusión, el Corte Inglés recabó los datos del denunciante, relativos a una compra efectuada en las tiendas Opencor, para incluirlos en su fichero “Clientes otras tarjetas externas” sin contar con su consentimiento informado y sin que concurriera ninguna de las causas de exclusión del consentimiento recogidas en el apartado 2 del mencionado artículo 6, conducta que encuentra su tipificación en el citado artículo 44.3.d) de la LOPD.
Y lo castiga así:
IMPONER a la entidad EL CORTE INGLES, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
Como el Corte Inglés ha recurrido podemos terminar esta nota como en las series de televisión: Continuará…Fuente: Ley de protección de datos
contra la Sociedad General de Autores y Editores (SGAE) por grabar sin permiso una boda y aportar el vídeo a un juicio por derechos de autor, lo que puede acarrearle una multa de hasta 300.500 euros.
La SGAE, en el contexto de su pleito contra un salón de celebraciones de Sevilla, contrató a un detective, que se coló en la boda y grabó a los asistentes bailando al ritmo de canciones presuntamente protegidas por derechos de autor.
A escondidas
El salón de bodas fue condenado a pagar 43.179 euros por derechos de autor en base a otras pruebas periféricas, ya que la sentencia del juzgado de lo Mercantil sevillano no admitió el vídeo como prueba porque constituía «una clara violación del derecho constitucional a la intimidad y a la propia imagen» más aún cuando se ejecutó «a escondidas, cuando la celebración estaba ya avanzada».
Al conocer la sentencia, la Asociación para la Protección de Datos de los Consumidores (Consudato) denunció los hechos a la Agencia de Protección de Datos, que ha abierto un expediente sancionador a la SGAE por una posible infracción grave, con una multa aparejada de entre 60.101 y 300.506 euros.
Dice la resolución que el vídeo recoge imágenes «de una celebración en un local cerrado donde se distingue a los asistentes a la misma, pudiéndose identificar a alguno de ellos», y existen indicios de que los datos de carácter personal se usaron posteriormente «con conculcación de los principios y garantías» de la citada ley.
Una herramienta habitual
El letrado del salón de bodas, Joaquín Moeckel, afirma que este expediente puede sentar precedente ya que la SGAE, en su lucha para conseguir el pago de derechos de autor, está aportando a juzgados de toda España pruebas similares grabadas por detectives.
La SGAE ha defendido en ocasiones anteriores que este tipo de pruebas son «absolutamente lícitas y conforme a Derecho», pero la sentencia estableció que se trata de una «intromisión ilegítima» en los derechos constitucionales «a la intimidad personal, familiar y a la propia imagen».
Fuente: EFE
Da igual que sea un despiste, pero todo aquel que en una actividad que no sea doméstica o personal deje a la vista las direcciones de correo electrónico de sus destinatarios está cometiendo una infracción multada hasta con 60.101, 21 euros por la Ley Orgánica de Protección de Datos (LOPD).
Enlaces relacionados:
Doña A.G. S. sabe bien que no se trata de una amenaza, pues ha tenido que pagar 601,01 euros por haber dejado a la vista 42 direcciones de email al enviar un mensaje promocional de telefonía móvil por encargo de una pequeña empresa conocida como La Cremallera, que estaba llevando a cabo una campaña para Vodafone.
Uno de los destinatarios de este mensaje sintió que se violaba su intimidad al exponer su dirección y no utilizar la opción de copia oculta (CCO), y presentó una denuncia ante la Agencia Española de Protección de Datos (AEPD), quien inició el proceso.
El correo electrónico se considera un dato personal desde 1999, según explica en su blog dedicado al derecho y las nuevas tecnologías Samuel Parra, y sólo se puede utilizar para los fines que su propietario ha autorizado. Este punto echó por tierra la defensa de la denunciada, quien alegaba que la dirección de correo de su denunciante se podía encontrar en Internet en diferentes páginas web.
“Esto (se refiere a LOPD) nos deja cristalino que aunque la dirección aparezca en Internet, si no tenemos consentimiento del interesado no podremos utilizarla para ningún tipo de comunicación”, explica Parra. La sentencia de la AEPD asegura que se ha violado el artículo 10 de la LOPD en el que se refiere al deber de secreto profesional. La agencia ha aplicado la menor multa contemplada para este tipo de infracción considerada leve.
En cualquier caso, la lección que se saca de esta multa es que en ningún momento se debe de copiar en el apartado CC (Copia Carbón) las direcciones de nuestros destinatarios si estamos realizando cualquier tipo de comunicación, que se salga del ámbito doméstico o personal.
Fuente: ElPais.com
– El expresidente del Real Madrid C.F. sancionado con multa de 360000 euros por vulnerar la Ley Orgá¡nica de Protección de Datos
– El Opus Dei sancionado a pagar 60101 euros.
– Multa de 6000 euros por compartir en el Emule una base de datos
– Sanción de 1000 euros por el envío de un único e-mail con información comercial
– Las empresas de telecomunicaciones y los bancos, los que más vulneran los datos de los ciudadanos
Las empresas del sector de las telecomunicaciones son las que más sanciones reciben por vulnerar la Ley de Protección de Datos, según informó ayer la Asociación de Internautas (AI). El pasado ejercicio la Agencia Española de Protección de Datos (AEPD) abrió un total de 105 procedimientos y 314 investigaciones contra estas compañías por cuestiones de tutela de derechos, es decir, para garantizar que los datos de los clientes estén actualizados y el consumidor afectado pueda acceder a ellos. Estas cifras duplican a las tramitadas en el sector financiero.
El «auge» de las quejas en el sector de las telecomunicaciones tiene que ver con la multiplicación de empresas dedicadas a facilitar conexiones telefónicas y acceso a Internet. Sus servicios «no siempre se prestan siguiendo la legalidad», afirma la AI. Estas empresas «son las que más procedimientos sancionadores tienen abiertos y las que más inspecciones han generado en el último año», recuerda. Entre las principales quejas de los usuarios, la AI destaca las altas fraudulentas y las trabas para darse de baja de algunos de sus servicios.
Fraudes
El desarrollo de la Sociedad de la Información y la liberalización del mercado de las telecomunicaciones han generado la aparición de una serie de prácticas fraudulentas en la contratación de los servicios, irregularidades que han motivado que muchos usuarios se vean involucrados en ficheros de deudores.
El problema llega cuando el usuario decide darse de baja pero la empresa continúa cobrándole una vez que ha dado orden en el banco de que no se paguen más facturas. «Entonces hay recibos que se quedan sin pagar porque el cliente no está de acuerdo con que la empresa le siga facturando», explica el presidente de la Asociación de Internautas, Víctor Domingo.
De este modo, por cantidades mínimas, «miles de ciudadanos se ven dentro de los listados de morosos, de los que muchas veces tienen la primera noticia cuando acuden a un banco a solicitar un préstamo o tratan de comprar un coche», apunta Domingo, que recuerda que las empresas tienen la obligación de remitir una carta a los usuarios para anunciarles que los han incluido en una de esas listas.
Además, recuerda la Federación de Consumidores en Acción (FACUA), mientras el impago esté en proceso de reclamación, la compañía «no puede incluir los datos del cliente en el registro», es decir, que si el usuario no está conforme con la cantidad que le reclama y ha presentado una queja que está sin resolver, la empresa «aún no podría tachar de moroso al cliente».
FACUA denuncia asimismo que tampoco se respeta en muchos casos el tiempo estimado para dar de baja a los clientes de estos registros cuando ya han saldado sus deudas. Tras pagar la cantidad debida y solicitar la baja, las empresas «siguen sin borrarles de la lista negra».
Multa a Uno-e Bank
Precisamente, la AEPD acaba de sancionar a Uno-e Bank, entidad bancaria «online» dependiente del BBVA, con dos multas de 60.000 euros por infringir dos artículos de la Ley de Protección de Datos al ceder datos de uno de sus clientes a los ficheros de morosos de ASNEF y BADEXCUG, alegando el impago de más de 1.700 euros.
Según la Agencia, el usuario fue incluido «indebidamente» en listas de morosos debido a «una presunta deuda» la cual, posteriormente, se demostró «que no existía». Este organismo recuerda que los datos de las personas que se incluyen en estos listados tienen que ser «exactos y puestos al día», y su tratamiento «requerirá el consentimiento inequívoco del afectado».