PROTECCIÓN DE DATOS A LA AMERICANA O A LA EUROPEA.

Las Comisiones de Informática y Libertades (CNIL) de los 27 países de la Unión Europea, reunidas a partir del miércoles en Estrasburgo, están determinadas a proteger al máximo los datos sobre la vida privada, mientras Estados Unidos quiere normas menos rígidas.
Los CNIL de Europa se apoyan sobre la directiva europea del 24 de octubre de 1995 que impone un nivel de protección "elevado".
Según Alex Türk, presidente de la Comisión de Informática y Libertades (CNIL) francesa, los estadounidenses consideran los datos personales casi "como una mercancía", mientras para los europeos son "un atributo de la personalidad".
"Ese es el centro del problema y será necesario un acuerdo mundial sobre las medidas comunes de protección", dijo tras reconocer que la elaboración de una convención internacional "no será para mañana".
Este tema será recurrente durante las tres jornadas organizadas en Estrasburgo por la CNIL francesa y su equivalente alemán, que festejan ambos este año sus 30 años

Medidas de Seguridad

Se recoge en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, el Reglamento) las medidas de seguridad que debemos aplicar a los ficheros de los cuales seamos responsables.

En función del nivel de seguridad que venga prescrito por ley, dependiendo este del grado de sensibilidad que se le reconozca a dichos datos, se podrán aplicar todas o algunas de las siguientes medidas;

• Registro de incidencias.
• Control de acceso.
• Gestión de soportes y documentos.
• Identificación y autenticación de los usuarios del sistema.
• Copias de respaldo y recuperación de los datos.
• Designación de un responsable de seguridad.
• Someterse a una auditoría bienal.
• Control de acceso físico a la documentación que contenga datos de carácter personal.
• Formación e información de los trabajadores.

EMPRESA & LOPD

La sede valenciana de la Universidad Internacional Menéndez Pelayo (UIMP) acogerá desde este lunes y hasta el miércoles las jornadas "Empresa y protección de datos: un reto estratégico", donde se analizará el tratamiento de datos personales en el entorno empresarial.

El objetivo de este curso es analizar, desde diversas perspectivas, el tratamiento de datos personales en un entorno empresarial ofreciendo criterios y directrices especificas sobre la materia. La obligatoriedad de cumplir con los requisitos que establece la LOPD a menudo se percibe desde el sector empresarial como un largo proceso de adaptación y algo que plantea exigencias organizativas y económicas. sin embargo, dichos procesos resultan muy beneficiosos y los ciudadanos exigen cada vez mas aquellos que tratan con sus datos personales apliquen la normativa vigente para garantizar este derecho.

Este seminario contara con la participación y las ponencias de los subdirectores de las diversas áreas de la Agencia Española de Protección de Datos, así como reconocidos catedráticos y miembros de prestigiosas universidades españolas.

ZONA VIDEOVIGILADA Y DIFUNDIDA POR INTERNET

La difusión en Internet de imágenes captadas por cámaras de seguridad instaladas en guarderías, gimnasios, hospitales u oficinas será objeto de una investigación por parte de la Agencia Española de Protección de Datos (AEPD), según anunció su director, Artemi Rallo, que compareció en el Congreso para exponer la Memoria 2007 del organismo.

Las imágenes procedentes de cámaras privadas que se difunden por la Red ponen en peligro el derecho a la imagen y privacidad de las personas, afirmó Rallo, para quien "posiblemente hay unos problemas de medidas de seguridad de Internet que tendrán que ser valorados". En la actualidad, hay 32 investigaciones en marcha sobre este asunto, que afectan a miembros de una comunidad religiosa, a solicitantes de servicios de adopción internacional, a enfermos mentales y a pacientes de la sanidad pública, entre otros, detalló el director de la AEPD.

Buena parte de las cámaras de vigilancia conectadas a Internet tienen acceso libre y pueden ser manipuladas por cualquiera, según un informe de la Asociación de Internautas (AI). El análisis realizado muestra que el 60% de las cámaras de seguridad y cámaras IP no tiene ningún tipo de seguridad, otro 20% tiene un "password" (clave) por defecto o que se puede saltar fácilmente, y sólo el 20% pueden considerarse seguras.

La circulación de todas estas imágenes es ilegal según la Ley de Protección de Datos, porque la imagen es un dato de carácter personal que no se puede ceder a terceros sin su consentimiento. La sanción puede ser de hasta 600.000 euros.
No hay ley que regule la videovigilancia privada, lo que no significa de que no haya límites ni orden en esta materia. Se aplican la Ley de Derecho al Honor, Intimidad y Propia Imagen, la Ley de Protección de Datos, la Ley de Seguridad Privada y, sobre todo, una instrucción de diciembre de 2006 de la Agencia de Protección de Datos específica sobre el tema.

Cuando las cámaras captan imágenes pero no las guardan, las cuestiones que suscitan son menores, aunque en todo caso la persona tiene derecho a saber que le están grabando. El problema surge cuando quedan almacenadas, porque constituyen ficheros de datos de carácter personal que, de forma obligatoria, deben notificarse a Protección de Datos.
Las cámaras pueden instalarse sólo cuando la vigilancia "no se pueda obtener por medios menos intrusivos para la intimidad de las personas". Este primer requisito es poco restrictivo, ya que casi en cualquier situación se puede argumentar que la mejor forma de control es a través de la videovigilancia. En segundo lugar, debe haber un distintivo, suficientemente visible, que informe a los ciudadanos de modo "expreso, preciso e inequívoco", según la normativa, de que van a ser grabados. El cartel tiene que indicar también quién es el responsable de la grabación y cuáles son los derechos de los observados. Esta norma se incumple de forma sistemática.
El tercer requisito es que en ningún caso se puede grabar el espacio público. Es decir, si un banco controla un cajero automático o una comunidad de vecinos la entrada de su urbanización, tendrán que conseguir, aunque sea tapando parte de la cámara, que no se grabe nada de lo que pasa fuera de sus dominios. Además, los particulares, o empresas, no pueden ponerse a grabar donde les parezca oportuno. Deben contratar a una empresa de seguridad privada autorizada por el Ministerio del Interior para que gestione el sistema Las imágenes tienen que ser borradas en el plazo de un mes. No pueden almacenarse para siempre. Y, desde luego, cederlas a terceros o colgarlas en Internet está absolutamente prohibido.

¿Qué es un Código Tipo?

Conforme dice el Art. 71 del Real decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, los código tipo tienen carácter de códigos deontológicos o de buena práctica profesional y serán vinculantes para quienes se adhieran a los mismos.

Así, por norma, aunque son escasos en el panorama legal español, aquellas entidades que manejan diariamente datos de importante sensibilidad tienden a tratar de unificar los criterios seguidos en el tratamiento de sus datos. Ejemplo de los código tipo que se hayan a día de hoy inscritos en la AEPD, son los relativos a; empresas dedicadas al comercio electrónico, a la actividad inmobiliaria, hospitales, universidades....

La creación de un código tipo tiene carácter voluntario y lo destacable del mismo es la unificación de clausulas tipo para la obtención del consentimiento de los afectados al tratamiento o cesión de sus datos, clausulas tipo para informar a los afectados, unificación de los modelos para solicitud de tramitación de derechos ARCO.... por norma también se crean para resolver problemas del día a día que surgen en el tratamiento de los datos, como la cesiones no sujetas a solicitud del consentimiento por estar prevista por ley.

Para que los códigos tipo puedan ser considerados como tales deberán ser depositados e inscritos en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos. Dándose publicidad por medios informáticos o telemáticos.

La creación del código tipo conlleva unas obligaciones posteriores a su inscripción como son; mantenerlo accesible al publico y actualizado, remitir a la AEPD una memoria anual sobre las actividades realizadas para difundirlo, evaluar periódicamente su eficacia.

Así, teniendo como marco general la LOPD y el reglamento que la desarrolla es conveniente que las empresas pertenecientes a un mismo sector lleguen a un acuerdo para generar este manual, el código tipo, que sera beneficioso tanto para la empresas como para el ciudadano al especificar normas que les afectan de la protección de datos.