Poniendo puertas al campo. Blogs regulados.

Todos consideramos que es positivo regular legalmente determinadas situaciones que se están generado como consecuencia del desarrollo de la Web 2.o pero, por lo visto, a nuestros europarlamentarios se les ha fijado en mente regular a conciencia Internet y todo aquello que le rodea, no centrándose en lo verdaderamente importante y decidiendo sobre el destino de los miles de bloggeros que cada día redactan en el ciberespacio y lanzan, cual botella al océano, sus ideas.
Así, se recomienda, en el Informe sobre el desarrollo de las nuevas tecnologías, redactado por la eurodiputada socialista Marianne Mikko, "que se aclare el estatuto jurídico de las diferentes categorías de autores y editores de blogs".

En este punto se enfrentan dos perspectivas, por un lado, aquellas que consideran que las bitácoras digitales son "un potente instrumento" y que podría "llegar a percibirse como una amenaza al pluralismo si no se realiza un seguimiento". Y por otro, hay quienes consideran que las bitácoras son una animada y fresca contribución al panorama mediático", por lo que "no deben ser restringidos", pero se puntualiza que "hay determinados asuntos de tipo legal que exigen una solución adecuada".

La visión de los europarlamentarios que apoyan el aclarar el estatus jurídico de los autores y editores de blogs y exigirles que divulguen sus intereses y sus declaraciones de intenciones, ha dado rienda suelta a situaciones de vulneración de derechos fundamentales como el del honor o el de la intimidad, sin que existan los cauces legales adecuados para reparar los daños causados a los damnificados.

De nuevo encontramos el enfrentamiento entre dos derechos fundamentales, la libertad de la expresión y el derecho a la intimidad cuyo marco es el desarrollo de las telecomunicaciones.

WEB 2.0 Y LOPD

Bruselas extiende la protección de datos a las redes privadas de comunicación en internet, como Facebook o Myspace, y no sólo a las públicas.

Ante la polémica surgida respecto a esta decisión, el Pleno ha descartado una de las medidas que más discusión habían levantado, como que las operadoras deban ponerse en contacto con los usuarios cuando éstos cometan actos ilícitos en internet.

En cambio, las autoridades nacionales deberán difundir, con la ayuda de los operadores, información de interés público relacionada con infracciones de los derechos de autor, distintos usos ilegales de los servicios de comunicación, la propagación de contenidos perjudiciales o consejos para proteger su privacidad.

El problema principal se encuentra en el hecho de qué consideración se la da a la dirección IP. Así, el informe recomienda a la Comisión realizar un estudio sobre si constituye un dato privado o si se trata de una identificación que debe ser pública.

Esta "protección" que invoca Bruselas puede suponer una retención de datos que viola nuestro derecho a la intimidad y al secreto de las Telecomunicaciones.

El Parlamento Europeo subraya además que cualquier violación de la seguridad de los datos personales debe ser notificada inmediatamente por el proveedor de los servicios de comunicaciones electrónicas a la autoridad nacional competente.

Distintas enmiendas aprobadas aumentarán la protección contra el correo basura, las "cookies", los virus informáticos, los troyanos o programas espía, y los afectados tendrán la posibilidad de emprender acciones legales contra los remitentes.

Derechos de los interesados

El interesado, aquel del que disponemos sus datos en nuestros ficheros, tiene derecho a ser informado sobre cualquier tratamiento de sus datos.

Los responsables del tratamiento (aquellos que deciden sobre la finalidad con que se recavan estos datos) deberán informar al interesado cuando recopilen datos personales que le afecten, a menos que ya se le haya informado previamente. Así;

• El interesado tendrá derecho a ser informado de: la identidad del responsable, la finalidad del tratamiento y cualquier información relativa a los receptores de los datos y los derechos específicos a los que los interesados tienen derecho. El interesado tiene derecho a recibir esta información con independencia de que los datos se hubieran obtenido directamente, o de forma indirecta mediante terceros. Podrá permitirse una excepción en este último caso si resulta imposible o extremadamente difícil proporcionar esta información.
• El interesado tiene derecho a acceder a los datos sobre su persona. Podrá acudir a cualquier responsable del tratamiento para saber si está tratando o no datos personales que le afecten. El interesado también tendrá derecho a recibir una copia de los datos de forma inteligible y a recibir cualquier información disponible sobre sus fuentes. Si los datos personales son inexactos o se han tratado ilegalmente, tendrá derecho a pedir su corrección o supresión. En este caso, el interesado también podrá solicitar al responsable del tratamiento que lo notifique a los terceros que hubieran recibido previamente los datos incorrectos, a menos que esto sea imposible. En determinados casos, se podrá solicitar el pago de una suma razonable para acceder a los datos.
• El interesado también tiene derecho a conocer la lógica que subyace al tratamiento automatizado de sus datos.
  

Por consiguiente, el responsable del tratamiento deberá adoptar precauciones adecuadas.

CLAUSULA INFORMATIVA

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal, recoge, en su Art. 5 , la previsión concerniente a el deber de informar al interesado de que se va a realizar una recogida de sus datos.

Se obliga por esta ley que, aquellos interesados a los que se soliciten los datos. sean previamente informados de de modo expreso, preciso e inequívoco;

a) de la existencia de un fichero, de la finalidad de la recogida y de los destinatarios de la información.

b) de la posibilidad de ejercitar sus derechos ARCO (acceso, rectificación, cancelación, oposición).

c) identidad y dirección del responsable del tratamiento.

d) de las consecuencias de la obtención de datos o de la negativa a suministrarlos.

e) del carácter facultativo o obligatorio de su respuesta las preguntas que le sean planteadas.

La finalidad de esta información previa, que se llevará a cabo mediante la anexión de una serie de cláusulas, es porque ha de dar su consentimiento, salvo que la ley disponga otra cosa, en la recogida de los datos.

Invasión de datos

Según un reciente informe de IBM, cada ser humano produce un terabyte de datos al año, considerando fotografías, grabaciones de videos, correo electrónico, declaración de impuestos, o visitas al médico. Si todos los datos fuesen impresos en papel, requeriría la tala de 50.000 árboles. El pronóstico del gigante azul es que el volumen de datos aumentará a 16 terabyte por persona para el año 2020

IBM ha realizado “el mayor lanzamiento de la historia de ámbito de la infraestructura de informaciones". Después de 3 años de trabajo y una inversión de 2000 millones de dólares, IBM anuncia 30 nuevos productos que contribuirán a gestionar el volumen cada vez mayor de datos.

Se espera que para el año 2011 habrá 2000 millones de usuarios de Internet y más de 1 billón de dispositivos asociados como automóviles, cámaras, sensores y otros elementos electrónicos conectados a Internet.

Protección de nuestras tarjetas de crédito

Se ha analizando el nivel de conocimiento y aplicación del Estándar de Seguridad de Datos en la Industria de Pagos de Tarjeta de Crédito (PCI- DSS), que constituye un marco de buenas prácticas aplicable a todas las organizaciones que recopilan, procesan o almacenan información crediticia.

Los datos de tarjetas de crédito residen en múltiples capas dentro de la infraestructura de la información – desde base de datos hasta correo electrónico-, lo que implica grandes desafíos para las empresas en el corto y mediano plazo para prevenir la pérdida de datos. La mitad de las empresas encuestadas aún no dispone de mecanismos básicos para la seguridad de la información, como puede ser la encriptación de la información.

El 48% de las empresas encuestadas en Latinoamérica desconocían absolutamente el estándar PCI DSS. Este es un estándar de seguridad que define el conjunto de requerimientos para gestionar la seguridad, definir políticas y procedimientos de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito.

El PCI Security Standards Council (PCI SSC) está formado por las principales compañías emisoras de tarjetas de crédito (Visa, Mastercard, American Express, JCB y Discover), para forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito, mediante la protección de las infraestructuras que procesan, transmiten o almacenan datos relativos a tarjetas de crédito.

PCI DSS cataloga a estas organizaciones en comercios o merchants (super/hipermercados, autopistas, e-commerce, agencias de viajes, etc), proveedores de servicios o service providers (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) y entidades financieras o acquirers (bancos, cajas de ahorro, entidades de crédito, etc.).

GOOGLE VS LOPD

Google ha decidido reducir el tiempo de almacenamiento de las direcciones IP de sus usuarios. Una medida que busca tranquilizar a los internautas, cada vez más preocupados por su privacidad. En su blog oficial Google precisó que su decisión responde a un pedido de un grupo de organismos europeos de protección de datos personales, que afirman que los motores de búsqueda en Internet no tenían ninguna razón para almacenar informaciones sobre los internautas durante más de seis meses.
La importancia de este almacenamiento, radica en que los datos personales de los navegantes de internet son de gran utilidad para ciertos sectores, como el de la publicidad en línea, ya que permite definir los intereses, relaciones e intenciones de un internauta.

Así la compañía californiana borrará el número de la dirección IP que identifica a cada ordenador que se conecta a Internet tras nueve meses y no tras los 18 meses establecidos inicialmente.
De hecho el buscador de Internet ya había reducido el año pasado el plazo de almacenamiento de los datos de 24 a 18 meses, hecho que hizo que sus competidores adoptaran una medida similar:Microsoft los conserva por 18 meses y Yahoo por 13 meses.

Respecto a esta medida, el comisario europeo de Justicia, Seguridad y Libertades, Jacques Barrot destacó también la nueva iniciativa de Google de informar a los internautas sobre su política de privacidad "con transparencia y de forma comprensible".

Por su parte, el responsable de políticas de privacidad de Google, Peter Fleischer aseguró que Google continuará trabajando "de cerca" con Bruselas y las autoridades de protección de datos europeas para "reafirmar la confianza en la privacidad en Internet".

Errores informáticos

El 15 de Julio de 2008, la Agencia Española de Protección de datos dictaba resolución en un procedimiento sancionador iniciado contra una conocida operadora de móviles.

Los hechos son los siguientes. Un particular efectúa una reclamación en la pagina web de la operadora. Tras el paso de unos días sin recibir contestación alguna le llama un desconocido que había recibido en su dirección de correo electrónico la respuesta a la reclamación, pudiendo acceder a su nombre, apellidos, dirección de email y número de teléfono móvil. Al respecto la operadora alego un error informático.

El Art. 10 de la Ley Orgánica de Protección de datos dispone que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, como el responsable del mismo”

Debido a lo anterior se entiende que hay que evitar que, por parte de quienes estén en contacto con los datos personales almacenados en ficheros, se realicen filtraciones no consentidas por los titulares de las mismas. El deber de confidencialidad obliga, no solo al responsable del fichero, sino a todo aquel que intervenga en cualquier fase del tratamiento.

En el presente caso quedo acreditado que la operadora no actuó con la diligencia debida que le era exigible, por esto se le impuso una multa por la infracción del articulo 10 de la LOPD, tipificada como leve en el articulo 44.2 e) de dicha norma.

SPAM o publicidad autorizada

El pasado 17 de julio de 2008, la Agencia Española de Protección de datos (AEPD) dictó resolución, en un proceso sancionador iniciado por un particular, frente a unos grandes almacenes.

La denuncia del particular se basa en la utilización de su correo electrónico para enviarle información publicitaria que no ha solicitado.

En el trámite de alegaciones la empresa denunciada deja claro que el usuario es miembro de un Club en el que se consiente el envío de publicidad via correo electrónico. En este punto para la AEPD es hecho probado que el denunciante proporciona la dirección de correo electrónico al efectuar una compra, y por otro lado, dentro de la relación utiliza sus datos de pertenencia al Club , que le reporta beneficios en sus compras.

A este respecto, el Art. 4 de la LOPD bajo la denominación “Calidad de los datos” dispone que la recogida de los datos ha de adecuarse a los principios de proporcionalidad, finalidad, veracidad o exactitud. Así, los datos recabados no se les puede dar un fin diferente al previsto bajo el que se solicitaron.
Así, la AEPD ha precisado lo siguiente;
“El tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al publico, que existe una Ley que ampara este tratamiento o una relacion contractual o negocial entre el titular de los datos y el responsable del tratamiento que sea necesaria para el mantenimiento del contrato”.

Finalmente, la AEPD, una vez estudiados los hechos, ha exonerado de responsabilidad a los grandes almacenes por considerar que su pertenencia al Club, según las condiciones, al hacer uso de su condición, los datos que para ello utilizará podían recabarse y conservarse para ser utilizados en el marco de dicha relación.

Las empresas frente a la LOPD. Introducción

En la sociedad de la información en que vivimos aquella empresa que ignora la vorágine tecnológica no existe. El gradual aumento de conexiónes a Banda Ancha, la progresiva confianza que depositan los españoles en el comercio electronico, la web 2.0, la movilidad de internet….
Esto conlleva enorme ventajas y, al tiempo, la observancia de las medidas relativas tanto a la Protección de datos, como a la seguridad y gestión de la información.

En concreto, la Ley Orgánica de Protección de Datos (LOPD) establece una serie de obligaciones en aras a la protección de los datos personales contenidos en ficheros automatizados, y en formato papel, que poseen las empresas, y que son tratadas por éstas con diferentes finalidades; gestión de personal, proveedores, clientes, campañas de marketing, etc. Por esto, es básico para cualquier empresa, en primer lugar, el conocer que tipo de datos maneja en su actividad diaria. Estos pueden ser de nivel bajo, medio o alto en función de la sensibilidad de la información que recojan.
Así, una vez definidos los niveles, se aplicarán las medidas de seguridad consiguientes que aparecen recogidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la LOPD.

Como empresa es necesario que definamos nuestra política de seguridad, se materialize por escrito y sea observada por todos sus miembros.

Sino, nos encontraremos con que el incumplimiento de estas normas conlleva sanciones por parte de la Agencia Española de Protección de datos que pueden alcanzar los 600.000 euros.

¿Qué es la Ley Orgánica de Protección de Datos?

En esta primera entrada vamos a llevar a cabo un breve resumen de qué es y el por qué de la existencia de la Ley Orgánica de Protección de Datos, mas conocida como LOPD.

La protección de los datos personales es parte integrante del derecho al respeto a la vida privada y familiar. El reconocimiento del derecho a la protección de datos personales es relativamente moderno y viene de la mano del desarrollo tecnológico. La constante informatización de nuestra vida diaria conlleva el peligro de que se agreda nuestra intimidad.

Los titulares de este derecho son las personas físicas, a pesar de que mucho se ha discutido sobre la posibilidad de contemplarlo respecto de las personas jurídicas. El principal obligado a que se cumpla la observacion de esto derechos es el estado. Por esto se ha creado la normativa siguiente; Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la citada ley. Así, la finalidad esencial de estas normas es la defensa del individuo frente a las injerencias del poder estatal y la intromisión de terceros en su esfera personal y familiar. Esto se materializa en la existencia de un derecho a ser informado, la obligacion de requerir su consentimiento para el tratamiento o la cesión de sus datos, derecho a ejercitar los derechos ARCO (Acceso, rectificación, cancelación, oposición)...

El obligado directo, al cumplimiento de lo anteriormente expuesto, es aquel que sea definido como el responsable del fichero, esto es, aquel que decida sobre la finalidad con que se va a dotar a estos datos. Debiendo por esto observarse; un deber de confidencialidad, el implantar medidas de seguridad, la citada obligación de informar.
En definitiva, una política concienciada con la importancia de custodiar unos datos que le han sido confiados y de los cuales no se es el dueño.

A partir de aquí, a lo largo de sucesivas entradas, iremos viendo cuales deben ser las pautas de actuación que nos marca la protección de datos.

Sancionado el Hospital Severo Ochoa por la AEPD

La Agencia de Protección de datos de la Comunidad de Madrid ha sancionado al Hospital Severo Ochoa por dos infracciones graves de la Ley de Proteccion de datos (LOPD).

Por un lado, infringió el artículo 44.4.g, de la LOPD, que hace referencia a la "vulneración del deber de guardar secreto sobre los datos de carácter personal". Y por otro, el no tener activado un registro de accesos, lo que permitia consultar los archivos sin dejar huella.

La resolución viene dada en base a una previa denuncia anónima que llegó a la Consejeria de Sanidad de la Comunidad de Madrid.

El hospital basó parte de sus argumentaciones en la responsabilidad directa y personal de cada profesional, manteniendo la agencia, conforme lo dispuesto en el artículo 10 Lopd, que esta responsabilidad no solo afecta a los profesionales, sino tambien al responsable de fichero, en este caso la Gerencia del Hospital.

La LOPD contempla como datos susceptibles de especial protección los relativos a nuestra salud. Por esto, cualquier entidad pública o privada viene obligada a establecer medidas de seguridad de nivel alto a la hora de custodiarlos y llevar a cabo su tratamiento.

Entre las medidas que recoge el reciente Reglamento de desarrollo de la citada Ley orgánica se encuentra la creación de un registro de acceso para que no se pueda producir una entrada indiscriminada a los datos de pacientes. Debido a esto es obligación del responsable el establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado.