PROTECCIÓN DE DATOS A LA AMERICANA O A LA EUROPEA.

Las Comisiones de Informática y Libertades (CNIL) de los 27 países de la Unión Europea, reunidas a partir del miércoles en Estrasburgo, están determinadas a proteger al máximo los datos sobre la vida privada, mientras Estados Unidos quiere normas menos rígidas.
Los CNIL de Europa se apoyan sobre la directiva europea del 24 de octubre de 1995 que impone un nivel de protección "elevado".
Según Alex Türk, presidente de la Comisión de Informática y Libertades (CNIL) francesa, los estadounidenses consideran los datos personales casi "como una mercancía", mientras para los europeos son "un atributo de la personalidad".
"Ese es el centro del problema y será necesario un acuerdo mundial sobre las medidas comunes de protección", dijo tras reconocer que la elaboración de una convención internacional "no será para mañana".
Este tema será recurrente durante las tres jornadas organizadas en Estrasburgo por la CNIL francesa y su equivalente alemán, que festejan ambos este año sus 30 años

Medidas de Seguridad

Se recoge en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, el Reglamento) las medidas de seguridad que debemos aplicar a los ficheros de los cuales seamos responsables.

En función del nivel de seguridad que venga prescrito por ley, dependiendo este del grado de sensibilidad que se le reconozca a dichos datos, se podrán aplicar todas o algunas de las siguientes medidas;

• Registro de incidencias.
• Control de acceso.
• Gestión de soportes y documentos.
• Identificación y autenticación de los usuarios del sistema.
• Copias de respaldo y recuperación de los datos.
• Designación de un responsable de seguridad.
• Someterse a una auditoría bienal.
• Control de acceso físico a la documentación que contenga datos de carácter personal.
• Formación e información de los trabajadores.

EMPRESA & LOPD

La sede valenciana de la Universidad Internacional Menéndez Pelayo (UIMP) acogerá desde este lunes y hasta el miércoles las jornadas "Empresa y protección de datos: un reto estratégico", donde se analizará el tratamiento de datos personales en el entorno empresarial.

El objetivo de este curso es analizar, desde diversas perspectivas, el tratamiento de datos personales en un entorno empresarial ofreciendo criterios y directrices especificas sobre la materia. La obligatoriedad de cumplir con los requisitos que establece la LOPD a menudo se percibe desde el sector empresarial como un largo proceso de adaptación y algo que plantea exigencias organizativas y económicas. sin embargo, dichos procesos resultan muy beneficiosos y los ciudadanos exigen cada vez mas aquellos que tratan con sus datos personales apliquen la normativa vigente para garantizar este derecho.

Este seminario contara con la participación y las ponencias de los subdirectores de las diversas áreas de la Agencia Española de Protección de Datos, así como reconocidos catedráticos y miembros de prestigiosas universidades españolas.

ZONA VIDEOVIGILADA Y DIFUNDIDA POR INTERNET

La difusión en Internet de imágenes captadas por cámaras de seguridad instaladas en guarderías, gimnasios, hospitales u oficinas será objeto de una investigación por parte de la Agencia Española de Protección de Datos (AEPD), según anunció su director, Artemi Rallo, que compareció en el Congreso para exponer la Memoria 2007 del organismo.

Las imágenes procedentes de cámaras privadas que se difunden por la Red ponen en peligro el derecho a la imagen y privacidad de las personas, afirmó Rallo, para quien "posiblemente hay unos problemas de medidas de seguridad de Internet que tendrán que ser valorados". En la actualidad, hay 32 investigaciones en marcha sobre este asunto, que afectan a miembros de una comunidad religiosa, a solicitantes de servicios de adopción internacional, a enfermos mentales y a pacientes de la sanidad pública, entre otros, detalló el director de la AEPD.

Buena parte de las cámaras de vigilancia conectadas a Internet tienen acceso libre y pueden ser manipuladas por cualquiera, según un informe de la Asociación de Internautas (AI). El análisis realizado muestra que el 60% de las cámaras de seguridad y cámaras IP no tiene ningún tipo de seguridad, otro 20% tiene un "password" (clave) por defecto o que se puede saltar fácilmente, y sólo el 20% pueden considerarse seguras.

La circulación de todas estas imágenes es ilegal según la Ley de Protección de Datos, porque la imagen es un dato de carácter personal que no se puede ceder a terceros sin su consentimiento. La sanción puede ser de hasta 600.000 euros.
No hay ley que regule la videovigilancia privada, lo que no significa de que no haya límites ni orden en esta materia. Se aplican la Ley de Derecho al Honor, Intimidad y Propia Imagen, la Ley de Protección de Datos, la Ley de Seguridad Privada y, sobre todo, una instrucción de diciembre de 2006 de la Agencia de Protección de Datos específica sobre el tema.

Cuando las cámaras captan imágenes pero no las guardan, las cuestiones que suscitan son menores, aunque en todo caso la persona tiene derecho a saber que le están grabando. El problema surge cuando quedan almacenadas, porque constituyen ficheros de datos de carácter personal que, de forma obligatoria, deben notificarse a Protección de Datos.
Las cámaras pueden instalarse sólo cuando la vigilancia "no se pueda obtener por medios menos intrusivos para la intimidad de las personas". Este primer requisito es poco restrictivo, ya que casi en cualquier situación se puede argumentar que la mejor forma de control es a través de la videovigilancia. En segundo lugar, debe haber un distintivo, suficientemente visible, que informe a los ciudadanos de modo "expreso, preciso e inequívoco", según la normativa, de que van a ser grabados. El cartel tiene que indicar también quién es el responsable de la grabación y cuáles son los derechos de los observados. Esta norma se incumple de forma sistemática.
El tercer requisito es que en ningún caso se puede grabar el espacio público. Es decir, si un banco controla un cajero automático o una comunidad de vecinos la entrada de su urbanización, tendrán que conseguir, aunque sea tapando parte de la cámara, que no se grabe nada de lo que pasa fuera de sus dominios. Además, los particulares, o empresas, no pueden ponerse a grabar donde les parezca oportuno. Deben contratar a una empresa de seguridad privada autorizada por el Ministerio del Interior para que gestione el sistema Las imágenes tienen que ser borradas en el plazo de un mes. No pueden almacenarse para siempre. Y, desde luego, cederlas a terceros o colgarlas en Internet está absolutamente prohibido.

¿Qué es un Código Tipo?

Conforme dice el Art. 71 del Real decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, los código tipo tienen carácter de códigos deontológicos o de buena práctica profesional y serán vinculantes para quienes se adhieran a los mismos.

Así, por norma, aunque son escasos en el panorama legal español, aquellas entidades que manejan diariamente datos de importante sensibilidad tienden a tratar de unificar los criterios seguidos en el tratamiento de sus datos. Ejemplo de los código tipo que se hayan a día de hoy inscritos en la AEPD, son los relativos a; empresas dedicadas al comercio electrónico, a la actividad inmobiliaria, hospitales, universidades....

La creación de un código tipo tiene carácter voluntario y lo destacable del mismo es la unificación de clausulas tipo para la obtención del consentimiento de los afectados al tratamiento o cesión de sus datos, clausulas tipo para informar a los afectados, unificación de los modelos para solicitud de tramitación de derechos ARCO.... por norma también se crean para resolver problemas del día a día que surgen en el tratamiento de los datos, como la cesiones no sujetas a solicitud del consentimiento por estar prevista por ley.

Para que los códigos tipo puedan ser considerados como tales deberán ser depositados e inscritos en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos. Dándose publicidad por medios informáticos o telemáticos.

La creación del código tipo conlleva unas obligaciones posteriores a su inscripción como son; mantenerlo accesible al publico y actualizado, remitir a la AEPD una memoria anual sobre las actividades realizadas para difundirlo, evaluar periódicamente su eficacia.

Así, teniendo como marco general la LOPD y el reglamento que la desarrolla es conveniente que las empresas pertenecientes a un mismo sector lleguen a un acuerdo para generar este manual, el código tipo, que sera beneficioso tanto para la empresas como para el ciudadano al especificar normas que les afectan de la protección de datos.

Poniendo puertas al campo. Blogs regulados.

Todos consideramos que es positivo regular legalmente determinadas situaciones que se están generado como consecuencia del desarrollo de la Web 2.o pero, por lo visto, a nuestros europarlamentarios se les ha fijado en mente regular a conciencia Internet y todo aquello que le rodea, no centrándose en lo verdaderamente importante y decidiendo sobre el destino de los miles de bloggeros que cada día redactan en el ciberespacio y lanzan, cual botella al océano, sus ideas.
Así, se recomienda, en el Informe sobre el desarrollo de las nuevas tecnologías, redactado por la eurodiputada socialista Marianne Mikko, "que se aclare el estatuto jurídico de las diferentes categorías de autores y editores de blogs".

En este punto se enfrentan dos perspectivas, por un lado, aquellas que consideran que las bitácoras digitales son "un potente instrumento" y que podría "llegar a percibirse como una amenaza al pluralismo si no se realiza un seguimiento". Y por otro, hay quienes consideran que las bitácoras son una animada y fresca contribución al panorama mediático", por lo que "no deben ser restringidos", pero se puntualiza que "hay determinados asuntos de tipo legal que exigen una solución adecuada".

La visión de los europarlamentarios que apoyan el aclarar el estatus jurídico de los autores y editores de blogs y exigirles que divulguen sus intereses y sus declaraciones de intenciones, ha dado rienda suelta a situaciones de vulneración de derechos fundamentales como el del honor o el de la intimidad, sin que existan los cauces legales adecuados para reparar los daños causados a los damnificados.

De nuevo encontramos el enfrentamiento entre dos derechos fundamentales, la libertad de la expresión y el derecho a la intimidad cuyo marco es el desarrollo de las telecomunicaciones.

WEB 2.0 Y LOPD

Bruselas extiende la protección de datos a las redes privadas de comunicación en internet, como Facebook o Myspace, y no sólo a las públicas.

Ante la polémica surgida respecto a esta decisión, el Pleno ha descartado una de las medidas que más discusión habían levantado, como que las operadoras deban ponerse en contacto con los usuarios cuando éstos cometan actos ilícitos en internet.

En cambio, las autoridades nacionales deberán difundir, con la ayuda de los operadores, información de interés público relacionada con infracciones de los derechos de autor, distintos usos ilegales de los servicios de comunicación, la propagación de contenidos perjudiciales o consejos para proteger su privacidad.

El problema principal se encuentra en el hecho de qué consideración se la da a la dirección IP. Así, el informe recomienda a la Comisión realizar un estudio sobre si constituye un dato privado o si se trata de una identificación que debe ser pública.

Esta "protección" que invoca Bruselas puede suponer una retención de datos que viola nuestro derecho a la intimidad y al secreto de las Telecomunicaciones.

El Parlamento Europeo subraya además que cualquier violación de la seguridad de los datos personales debe ser notificada inmediatamente por el proveedor de los servicios de comunicaciones electrónicas a la autoridad nacional competente.

Distintas enmiendas aprobadas aumentarán la protección contra el correo basura, las "cookies", los virus informáticos, los troyanos o programas espía, y los afectados tendrán la posibilidad de emprender acciones legales contra los remitentes.

Derechos de los interesados

El interesado, aquel del que disponemos sus datos en nuestros ficheros, tiene derecho a ser informado sobre cualquier tratamiento de sus datos.

Los responsables del tratamiento (aquellos que deciden sobre la finalidad con que se recavan estos datos) deberán informar al interesado cuando recopilen datos personales que le afecten, a menos que ya se le haya informado previamente. Así;

• El interesado tendrá derecho a ser informado de: la identidad del responsable, la finalidad del tratamiento y cualquier información relativa a los receptores de los datos y los derechos específicos a los que los interesados tienen derecho. El interesado tiene derecho a recibir esta información con independencia de que los datos se hubieran obtenido directamente, o de forma indirecta mediante terceros. Podrá permitirse una excepción en este último caso si resulta imposible o extremadamente difícil proporcionar esta información.
• El interesado tiene derecho a acceder a los datos sobre su persona. Podrá acudir a cualquier responsable del tratamiento para saber si está tratando o no datos personales que le afecten. El interesado también tendrá derecho a recibir una copia de los datos de forma inteligible y a recibir cualquier información disponible sobre sus fuentes. Si los datos personales son inexactos o se han tratado ilegalmente, tendrá derecho a pedir su corrección o supresión. En este caso, el interesado también podrá solicitar al responsable del tratamiento que lo notifique a los terceros que hubieran recibido previamente los datos incorrectos, a menos que esto sea imposible. En determinados casos, se podrá solicitar el pago de una suma razonable para acceder a los datos.
• El interesado también tiene derecho a conocer la lógica que subyace al tratamiento automatizado de sus datos.
  

Por consiguiente, el responsable del tratamiento deberá adoptar precauciones adecuadas.

CLAUSULA INFORMATIVA

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal, recoge, en su Art. 5 , la previsión concerniente a el deber de informar al interesado de que se va a realizar una recogida de sus datos.

Se obliga por esta ley que, aquellos interesados a los que se soliciten los datos. sean previamente informados de de modo expreso, preciso e inequívoco;

a) de la existencia de un fichero, de la finalidad de la recogida y de los destinatarios de la información.

b) de la posibilidad de ejercitar sus derechos ARCO (acceso, rectificación, cancelación, oposición).

c) identidad y dirección del responsable del tratamiento.

d) de las consecuencias de la obtención de datos o de la negativa a suministrarlos.

e) del carácter facultativo o obligatorio de su respuesta las preguntas que le sean planteadas.

La finalidad de esta información previa, que se llevará a cabo mediante la anexión de una serie de cláusulas, es porque ha de dar su consentimiento, salvo que la ley disponga otra cosa, en la recogida de los datos.

Invasión de datos

Según un reciente informe de IBM, cada ser humano produce un terabyte de datos al año, considerando fotografías, grabaciones de videos, correo electrónico, declaración de impuestos, o visitas al médico. Si todos los datos fuesen impresos en papel, requeriría la tala de 50.000 árboles. El pronóstico del gigante azul es que el volumen de datos aumentará a 16 terabyte por persona para el año 2020

IBM ha realizado “el mayor lanzamiento de la historia de ámbito de la infraestructura de informaciones". Después de 3 años de trabajo y una inversión de 2000 millones de dólares, IBM anuncia 30 nuevos productos que contribuirán a gestionar el volumen cada vez mayor de datos.

Se espera que para el año 2011 habrá 2000 millones de usuarios de Internet y más de 1 billón de dispositivos asociados como automóviles, cámaras, sensores y otros elementos electrónicos conectados a Internet.

Protección de nuestras tarjetas de crédito

Se ha analizando el nivel de conocimiento y aplicación del Estándar de Seguridad de Datos en la Industria de Pagos de Tarjeta de Crédito (PCI- DSS), que constituye un marco de buenas prácticas aplicable a todas las organizaciones que recopilan, procesan o almacenan información crediticia.

Los datos de tarjetas de crédito residen en múltiples capas dentro de la infraestructura de la información – desde base de datos hasta correo electrónico-, lo que implica grandes desafíos para las empresas en el corto y mediano plazo para prevenir la pérdida de datos. La mitad de las empresas encuestadas aún no dispone de mecanismos básicos para la seguridad de la información, como puede ser la encriptación de la información.

El 48% de las empresas encuestadas en Latinoamérica desconocían absolutamente el estándar PCI DSS. Este es un estándar de seguridad que define el conjunto de requerimientos para gestionar la seguridad, definir políticas y procedimientos de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito.

El PCI Security Standards Council (PCI SSC) está formado por las principales compañías emisoras de tarjetas de crédito (Visa, Mastercard, American Express, JCB y Discover), para forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito, mediante la protección de las infraestructuras que procesan, transmiten o almacenan datos relativos a tarjetas de crédito.

PCI DSS cataloga a estas organizaciones en comercios o merchants (super/hipermercados, autopistas, e-commerce, agencias de viajes, etc), proveedores de servicios o service providers (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) y entidades financieras o acquirers (bancos, cajas de ahorro, entidades de crédito, etc.).

GOOGLE VS LOPD

Google ha decidido reducir el tiempo de almacenamiento de las direcciones IP de sus usuarios. Una medida que busca tranquilizar a los internautas, cada vez más preocupados por su privacidad. En su blog oficial Google precisó que su decisión responde a un pedido de un grupo de organismos europeos de protección de datos personales, que afirman que los motores de búsqueda en Internet no tenían ninguna razón para almacenar informaciones sobre los internautas durante más de seis meses.
La importancia de este almacenamiento, radica en que los datos personales de los navegantes de internet son de gran utilidad para ciertos sectores, como el de la publicidad en línea, ya que permite definir los intereses, relaciones e intenciones de un internauta.

Así la compañía californiana borrará el número de la dirección IP que identifica a cada ordenador que se conecta a Internet tras nueve meses y no tras los 18 meses establecidos inicialmente.
De hecho el buscador de Internet ya había reducido el año pasado el plazo de almacenamiento de los datos de 24 a 18 meses, hecho que hizo que sus competidores adoptaran una medida similar:Microsoft los conserva por 18 meses y Yahoo por 13 meses.

Respecto a esta medida, el comisario europeo de Justicia, Seguridad y Libertades, Jacques Barrot destacó también la nueva iniciativa de Google de informar a los internautas sobre su política de privacidad "con transparencia y de forma comprensible".

Por su parte, el responsable de políticas de privacidad de Google, Peter Fleischer aseguró que Google continuará trabajando "de cerca" con Bruselas y las autoridades de protección de datos europeas para "reafirmar la confianza en la privacidad en Internet".

Errores informáticos

El 15 de Julio de 2008, la Agencia Española de Protección de datos dictaba resolución en un procedimiento sancionador iniciado contra una conocida operadora de móviles.

Los hechos son los siguientes. Un particular efectúa una reclamación en la pagina web de la operadora. Tras el paso de unos días sin recibir contestación alguna le llama un desconocido que había recibido en su dirección de correo electrónico la respuesta a la reclamación, pudiendo acceder a su nombre, apellidos, dirección de email y número de teléfono móvil. Al respecto la operadora alego un error informático.

El Art. 10 de la Ley Orgánica de Protección de datos dispone que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, como el responsable del mismo”

Debido a lo anterior se entiende que hay que evitar que, por parte de quienes estén en contacto con los datos personales almacenados en ficheros, se realicen filtraciones no consentidas por los titulares de las mismas. El deber de confidencialidad obliga, no solo al responsable del fichero, sino a todo aquel que intervenga en cualquier fase del tratamiento.

En el presente caso quedo acreditado que la operadora no actuó con la diligencia debida que le era exigible, por esto se le impuso una multa por la infracción del articulo 10 de la LOPD, tipificada como leve en el articulo 44.2 e) de dicha norma.

SPAM o publicidad autorizada

El pasado 17 de julio de 2008, la Agencia Española de Protección de datos (AEPD) dictó resolución, en un proceso sancionador iniciado por un particular, frente a unos grandes almacenes.

La denuncia del particular se basa en la utilización de su correo electrónico para enviarle información publicitaria que no ha solicitado.

En el trámite de alegaciones la empresa denunciada deja claro que el usuario es miembro de un Club en el que se consiente el envío de publicidad via correo electrónico. En este punto para la AEPD es hecho probado que el denunciante proporciona la dirección de correo electrónico al efectuar una compra, y por otro lado, dentro de la relación utiliza sus datos de pertenencia al Club , que le reporta beneficios en sus compras.

A este respecto, el Art. 4 de la LOPD bajo la denominación “Calidad de los datos” dispone que la recogida de los datos ha de adecuarse a los principios de proporcionalidad, finalidad, veracidad o exactitud. Así, los datos recabados no se les puede dar un fin diferente al previsto bajo el que se solicitaron.
Así, la AEPD ha precisado lo siguiente;
“El tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al publico, que existe una Ley que ampara este tratamiento o una relacion contractual o negocial entre el titular de los datos y el responsable del tratamiento que sea necesaria para el mantenimiento del contrato”.

Finalmente, la AEPD, una vez estudiados los hechos, ha exonerado de responsabilidad a los grandes almacenes por considerar que su pertenencia al Club, según las condiciones, al hacer uso de su condición, los datos que para ello utilizará podían recabarse y conservarse para ser utilizados en el marco de dicha relación.

Las empresas frente a la LOPD. Introducción

En la sociedad de la información en que vivimos aquella empresa que ignora la vorágine tecnológica no existe. El gradual aumento de conexiónes a Banda Ancha, la progresiva confianza que depositan los españoles en el comercio electronico, la web 2.0, la movilidad de internet….
Esto conlleva enorme ventajas y, al tiempo, la observancia de las medidas relativas tanto a la Protección de datos, como a la seguridad y gestión de la información.

En concreto, la Ley Orgánica de Protección de Datos (LOPD) establece una serie de obligaciones en aras a la protección de los datos personales contenidos en ficheros automatizados, y en formato papel, que poseen las empresas, y que son tratadas por éstas con diferentes finalidades; gestión de personal, proveedores, clientes, campañas de marketing, etc. Por esto, es básico para cualquier empresa, en primer lugar, el conocer que tipo de datos maneja en su actividad diaria. Estos pueden ser de nivel bajo, medio o alto en función de la sensibilidad de la información que recojan.
Así, una vez definidos los niveles, se aplicarán las medidas de seguridad consiguientes que aparecen recogidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la LOPD.

Como empresa es necesario que definamos nuestra política de seguridad, se materialize por escrito y sea observada por todos sus miembros.

Sino, nos encontraremos con que el incumplimiento de estas normas conlleva sanciones por parte de la Agencia Española de Protección de datos que pueden alcanzar los 600.000 euros.

¿Qué es la Ley Orgánica de Protección de Datos?

En esta primera entrada vamos a llevar a cabo un breve resumen de qué es y el por qué de la existencia de la Ley Orgánica de Protección de Datos, mas conocida como LOPD.

La protección de los datos personales es parte integrante del derecho al respeto a la vida privada y familiar. El reconocimiento del derecho a la protección de datos personales es relativamente moderno y viene de la mano del desarrollo tecnológico. La constante informatización de nuestra vida diaria conlleva el peligro de que se agreda nuestra intimidad.

Los titulares de este derecho son las personas físicas, a pesar de que mucho se ha discutido sobre la posibilidad de contemplarlo respecto de las personas jurídicas. El principal obligado a que se cumpla la observacion de esto derechos es el estado. Por esto se ha creado la normativa siguiente; Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la citada ley. Así, la finalidad esencial de estas normas es la defensa del individuo frente a las injerencias del poder estatal y la intromisión de terceros en su esfera personal y familiar. Esto se materializa en la existencia de un derecho a ser informado, la obligacion de requerir su consentimiento para el tratamiento o la cesión de sus datos, derecho a ejercitar los derechos ARCO (Acceso, rectificación, cancelación, oposición)...

El obligado directo, al cumplimiento de lo anteriormente expuesto, es aquel que sea definido como el responsable del fichero, esto es, aquel que decida sobre la finalidad con que se va a dotar a estos datos. Debiendo por esto observarse; un deber de confidencialidad, el implantar medidas de seguridad, la citada obligación de informar.
En definitiva, una política concienciada con la importancia de custodiar unos datos que le han sido confiados y de los cuales no se es el dueño.

A partir de aquí, a lo largo de sucesivas entradas, iremos viendo cuales deben ser las pautas de actuación que nos marca la protección de datos.

Sancionado el Hospital Severo Ochoa por la AEPD

La Agencia de Protección de datos de la Comunidad de Madrid ha sancionado al Hospital Severo Ochoa por dos infracciones graves de la Ley de Proteccion de datos (LOPD).

Por un lado, infringió el artículo 44.4.g, de la LOPD, que hace referencia a la "vulneración del deber de guardar secreto sobre los datos de carácter personal". Y por otro, el no tener activado un registro de accesos, lo que permitia consultar los archivos sin dejar huella.

La resolución viene dada en base a una previa denuncia anónima que llegó a la Consejeria de Sanidad de la Comunidad de Madrid.

El hospital basó parte de sus argumentaciones en la responsabilidad directa y personal de cada profesional, manteniendo la agencia, conforme lo dispuesto en el artículo 10 Lopd, que esta responsabilidad no solo afecta a los profesionales, sino tambien al responsable de fichero, en este caso la Gerencia del Hospital.

La LOPD contempla como datos susceptibles de especial protección los relativos a nuestra salud. Por esto, cualquier entidad pública o privada viene obligada a establecer medidas de seguridad de nivel alto a la hora de custodiarlos y llevar a cabo su tratamiento.

Entre las medidas que recoge el reciente Reglamento de desarrollo de la citada Ley orgánica se encuentra la creación de un registro de acceso para que no se pueda producir una entrada indiscriminada a los datos de pacientes. Debido a esto es obligación del responsable el establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado.