jueves, 24 de febrero de 2011

Siete de cada diez empresas sufren fugas de datos

Sophos, compañía de seguridad TI y protección de datos, afirma que el 70 por ciento de las empresas han sufrido como mínimo una fuga de datos en el último año.

Este y otros datos se han dado a conocer en una webcast que, bajo el título “Implicaciones empresariales de una filtración de datos”, se ha organizado ayer con profesionales de seguridad de la Administración Pública, de empresas privadas y de partners.

Realizada por Pablo Teijeira, Corporate Account Manager de Sophos Iberia, también ha confirmado que el 75% de las filtraciones de datos empresariales son accidentales. Y este dato empeora si se tiene en cuenta que el 86% de los profesionales informáticos afirma que alguien de su empresa ha perdido o le han robado el ordenador portátil y el 61% informa de que, como resultado, sufrieron pérdida de datos.
Los datos, el activo de la empresa

Estos datos vienen a confirmar la preocupación por una información que es el principal activo de cualquier empresa. Hoy en día la cantidad de datos electrónicos que manejan las empresas crece exponencialmente y, además, cada vez están más dispersos. De hecho, lo que ocurre frecuentemente es que en dispositivos móviles se concentran grandes cantidades de información empresarial confidencial.
El entorno empresarial, por tanto, evoluciona y, como resultado, también aumenta el reto de la seguridad de datos por ese, ya comentado, aumento del uso de dispositivos móviles, y además, por el mayor uso de las redes sociales con fines empresariales, y el crecimiento de los servicios y aplicaciones basados en web.
La filtración de datos es la preocupación de seguridad empresarial principal para los profesionales informáticos (el 38%) por delante del cumplimiento de las normas (el 33%) e, incluso, de los virus informáticos (el 27%).

Filtraciones de datos=repercusión empresarial considerable
Las filtraciones de datos pueden llevar consigo graves consecuencias de muy diferente índole, pero que se agrupan en tres aspectos: financieras, sociales/políticas y legales.
Esto quiere decir que la fuga de datos puede dejar maltrechas las cuentas de una empresa puesto que el coste medio para resolver un problema de fuga de datos es de 6,6 millones de dólares”, afirma Pablo Teijeira.

En cuanto a los costes sociales/políticos son más difíciles de cuantificar, pero no por ello son menos importantes, ya que puede suponer una pérdida de clientes y dificultades para conseguir otros nuevos por la imagen negativa que provoca, así como la pérdida de reputación en el mercado y de confianza de los clientes.
En cuanto a los costes legales, también puede llegar a ser muy elevados, derivados de condenas por infringir las leyes de protección de datos y posibles demandas interpuestas por los afectados. De hecho, los gobiernos cada vez dan más importancia a la protección de datos y, como resultado de ello, crean nuevas leyes y mayores sanciones para castigar las fugas de datos.

Claves de seguridad para evitar las filtraciones de datos
Dado que los datos son el principal activo de cualquier empresa, desde Sophos también se han dado las claves para minimizar los riesgos de posibles fugas de datos. Para ello, se debe llevar a cabo una política de seguridad efectiva y teniendo muy en cuenta que las empresas deben asegurarse de que disponen de normas eficaces para la seguridad de datos, que éstas cumplen la legislación vigente y que las operaciones sobre el terreno cumplan con las normas de seguridad de datos.

Además, mediante la aplicación de los cuatro puntales principales en los que se basan las estrategias de seguridad de datos (sistemas y procesos, políticas, tecnologías y formación de los usuarios), las empresas pueden minimizar el riesgo de posibles filtraciones. Lo importante es que se tenga en cuenta unos consejos básicos como son:
  • Cifrar el disco duro, los dispositivos externos de almacenamiento y el correo electrónico.
  • Contar con una protección antivirus en estaciones de trabajo, un cortafuegos, así como la instalación de los pertinentes parches de seguridad.
  • Llevar a cabo restricciones de aplicaciones, control de dispositivos y de puentes de red.
  • Realizar un control de acceso a la web y a la red.
  • Disponer de una política de seguridad de datos documentada y transparente que determine el marco para todas aquellas personas que manejen información.
  • Comunicar esta política a todos los empleados y establecer revisiones para asegurarse de que se aplica.
  • Es vital, además, que los usuarios estén formados y sean conscientes de cómo ocurre la filtración de datos, las repercusiones que puede tener, sus posibles responsabilidades. Y, lo más importante, conozcan los sistemas, las políticas y tecnologías aplicables para prevenir la filtración de datos.
Publicado por en No hay comentarios:

martes, 22 de febrero de 2011

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico 1º parte

Incluye las modificaciones introducidas por la Corrección de error en BOE num. 187, de 6 de agosto de 2002; la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones; la Ley 59/2003, de 19 de diciembre, de firma electrónica; la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones; la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información; y la Ley 7/2010, de 31 de marzo, General de la Comunicación Audiovisual.

EXPOSICIÓN DE MOTIVOS

I

La presente Ley tiene como objeto la incorporación al ordenamiento jurídico español de la Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio, relativa a determinados aspectos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico). 
Asimismo, incorpora parcialmente la Directiva 98/27/CE, del Parlamento Europeo y del Consejo, de 19 de mayo, relativa a las acciones de cesación en materia de protección de los intereses de los consumidores, al regular, de conformidad con lo establecido en ella, una
acción de cesación contra las conductas que contravengan lo dispuesto en esta Ley. Lo que la Directiva 2000/31/CE denomina "sociedad de la información" viene determinado por la extraordinaria expansión de las redes de telecomunicaciones y, en especial, de Internet como vehículo de transmisión e intercambio de todo tipo de información. 
Su incorporación a la vida económica y social ofrece innumerables ventajas, como la mejora de la eficiencia empresarial, el incremento de las posibilidades de elección de los usuarios y la aparición de nuevas fuentes de empleo. Pero la implantación de Internet y las nuevas tecnologías tropieza con algunas incertidumbres jurídicas, que es preciso aclarar con el establecimiento de un marco jurídico adecuado, que genere en todos los actores intervinientes la confianza necesaria para el empleo de este nuevo medio.
Eso es lo que pretende esta Ley, que parte de la aplicación a las actividades realizadas por medios electrónicos de las normas tanto generales como especiales que las regulan, ocupándose tan sólo de aquellos aspectos que, ya sea por su novedad o por las peculiaridades que implica su ejercicio por vía electrónica, no están cubiertos por dicha regulación.

II

Se acoge, en la Ley, un concepto amplio de "servicios de la sociedad de la información", que engloba, además de la contratación de bienes y servicios por vía electrónica, el suministro de información por dicho medio (como el que efectúan los periódicos o revistas que pueden encontrarse en la red), las actividades de intermediación relativas a la provisión de acceso a la red, a la transmisión de datos por redes de telecomunicaciones, a la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, al alojamiento en los propios servidores de información, servicios o aplicaciones facilitados por otros o a la provisión de instrumentos de búsqueda o de enlaces a otros sitios de Internet, así como cualquier otro servicio que se preste a petición individual de los usuarios (descarga de archivos de vídeo o audio...), siempre que represente una actividad económica para el prestador.

Estos servicios son ofrecidos por los operadores de telecomunicaciones, los proveedores de acceso a Internet, los portales, los motores de búsqueda o cualquier otro sujeto que disponga de un sitio en Internet a través del que realice alguna de las actividades indicadas, incluido el comercio electrónico. 

Desde un punto de vista subjetivo, la Ley se aplica, con carácter general, a los prestadores de servicios establecidos en España. Por "establecimiento" se entiende el lugar desde el que se dirige y gestiona una actividad económica, definición esta que se inspira en el concepto de domicilio fiscal recogido en las normas tributarias españolas y que resulta compatible con la noción material de establecimiento predicada por el Derecho comunitario. 

La Ley resulta igualmente aplicable a quienes sin ser residentes en España prestan servicios de la sociedad de la información a través de un "establecimiento permanente" situado en España. En este último caso, la sujeción a la Ley es únicamente parcial, respecto a aquellos servicios que se presten desde España. El lugar de establecimiento del prestador de servicios es un elemento esencial en la Ley, porque de él depende el ámbito de aplicación no sólo de esta Ley, sino de todas las demás disposiciones del ordenamiento español que les sean de aplicación, en función de la actividad que desarrollen. 

Asimismo, el lugar de establecimiento del prestador determina la ley y las autoridades competentes para el control de su cumplimiento, de acuerdo con el principio de la aplicación de la ley del país de origen que inspira la Directiva 2000/31/CE. Por lo demás, sólo se permite restringir la libre prestación en España de servicios de la sociedad de la información procedentes de otros países pertenecientes al Espacio Económico Europeo en los supuestos previstos en la Directiva 2000/31/CE, que consisten en la producción de un daño o peligro graves contra ciertos valores fundamentales como el orden público, la salud pública o la protección de los menores. 

Igualmente, podrá restringirse la prestación de servicios provenientes de dichos Estados cuando afecten a alguna de las materias excluidas del principio de país de origen, que la Ley concreta en su artículo 3, y se incumplan las disposiciones de la normativa española que, en su caso, resulte aplicable a las mismas.

III

Se prevé la anotación del nombre o nombres de dominio de Internet que correspondan al prestador de servicios en el registro público en que, en su caso, dicho prestador conste inscrito para la adquisición de personalidad jurídica o a los solos efectos de publicidad, con el fin de garantizar que la vinculación entre el prestador, su establecimiento físico y su "establecimiento" o localización en la red, que proporciona su dirección de Internet, sea fácilmente accesible para los ciudadanos y la Administración pública.

La Ley establece, asimismo, las obligaciones y responsabilidades de los prestadores de servicios que realicen actividades de intermediación como las de transmisión, copia, alojamiento y localización de datos en la red. En general, éstas imponen a dichos prestadores un deber de colaboración para impedir que determinados servicios o contenidos ilícitos se sigan divulgando.

Las responsabilidades que pueden derivar del incumplimiento de estas normas no son sólo de orden administrativo, sino de tipo civil o penal, según los bienes jurídicos afectados y las normas que resulten aplicables. Destaca, por otra parte, en la Ley, su afán por proteger los intereses de los destinatarios de servicios, de forma que éstos puedan gozar de garantías suficientes a la hora de contratar un servicio o bien por Internet.

Con esta finalidad, la Ley impone a los prestadores de servicios la obligación de facilitar el acceso a sus datos de identificación a cuantos visiten su sitio en Internet; la de informar a los destinatarios sobre los precios que apliquen a sus servicios y la de permitir a éstos visualizar, imprimir y archivar las condiciones generales a que se someta, en su caso, el contrato. Cuando la contratación se efectúe con consumidores, el prestador de servicios deberá, además, guiarles durante el proceso de contratación, indicándoles los pasos que han de dar y la forma de corregir posibles errores en la introducción de datos, y confirmar la aceptación realizada una vez recibida.

En lo que se refiere a las comunicaciones comerciales, la Ley establece que éstas deban identificarse como tales, y prohíbe su envío por correo electrónico u otras vías de comunicación electrónica equivalente, salvo que el destinatario haya prestado su consentimiento.

IV

Se favorece igualmente la celebración de contratos por vía electrónica, al afirmar la Ley, de acuerdo con el principio espiritualista que rige la perfección de los contratos en nuestro Derecho, la validez y eficacia del consentimiento prestado por vía electrónica, declarar que no es necesaria la admisión expresa de esta técnica para que el contrato surta efecto entre las partes, y asegurar la equivalencia entre los documentos en soporte papel y los documentos electrónicos a efectos del cumplimiento del requisito de "forma escrita" que figura en diversas leyes. 

Se aprovecha la ocasión para fijar el momento y lugar de celebración de los contratos electrónicos, adoptando una solución única, también válida para otros tipos de contratos celebrados a distancia, que unifica el criterio dispar contenido hasta ahora en los Códigos Civil y de Comercio. Las disposiciones contenidas en esta Ley sobre aspectos generales de la contratación electrónica, como las relativas a la validez y eficacia de los contratos electrónicos o al momento de prestación del consentimiento, serán de aplicación aun cuando ninguna de las partes tenga la condición de prestador o destinatario de servicios de la sociedad de la información. 

La Ley promueve la elaboración de códigos de conducta sobre las materias reguladas en esta Ley, al considerar que son un instrumento de autorregulación especialmente apto para adaptar los diversos preceptos de la Ley a las características específicas de cada sector. Por su sencillez, rapidez y comodidad para los usuarios, se potencia igualmente el recurso al arbitraje y a los procedimientos alternativos de resolución de conflictos que puedan crearse mediante códigos de conducta, para dirimir las disputas que puedan surgir en la contratación electrónica y en el uso de los demás servicios de la sociedad de la información.

Se favorece, además, el uso de medios electrónicos en la tramitación de dichos procedimientos, respetando, en su caso, las normas que, sobre la utilización de dichos medios, establezca la normativa específica sobre arbitraje. 

De conformidad con lo dispuesto en las Directivas 2000/31/CE y 98/27/CE, se regula la acción de cesación que podrá ejercitarse para hacer cesar la realización de conductas contrarias a la presente Ley que vulneren los intereses de los consumidores y usuarios. Para el ejercicio de esta acción, deberá tenerse en cuenta, además de lo dispuesto en esta Ley, lo establecido en la Ley general de incorporación de la Directiva 98/27/CE.

La Ley prevé, asimismo, la posibilidad de que los ciudadanos y entidades se dirijan a diferentes Ministerios y órganos administrativos para obtener información práctica sobre distintos aspectos relacionados con las materias objeto de esta Ley, lo que requerirá el establecimiento de mecanismos que aseguren la máxima coordinación entre ellos y la homogeneidad y coherencia de la información suministrada a los usuarios. 

Finalmente, se establece un régimen sancionador proporcionado pero eficaz, como indica la Directiva 2000/31/CE, para disuadir a los prestadores de servicios del incumplimiento de lo dispuesto en esta Ley. 
Asimismo, se contempla en la Ley una serie de previsiones orientadas a hacer efectiva la accesibilidad de las personas con discapacidad a la información proporcionada por medios electrónicos, y muy especialmente a la información suministrada por las Administraciones públicas, compromiso al que se refiere la resolución del Consejo de la Unión Europea de 25 de marzo de 2002, sobre accesibilidad de los sitios web públicos y de su contenido.
La presente disposición ha sido elaborada siguiendo un amplio proceso de consulta pública y ha sido sometida al procedimiento de información en materia de normas y reglamentaciones técnicas previsto en la Directiva 98/34/CE, del Parlamento Europeo y del Consejo, de 22 de junio, modificada por la Directiva 98/48/CE, del Parlamento Europeo y del Consejo, de 20 de julio, y en el Real Decreto 1337/1999, de 31 de julio.
Publicado por en No hay comentarios:

Texto consolidado del Título VII de la Ley Orgánica de Protección de Datos que regula el régimen sancionador

TÍTULO VII. INFRACCIONES Y SANCIONES
(Redactado conforme a la disposición final quincuagésima octava de la Ley de
Economía sostenible. Modificación de la Ley Orgánica 15/1999 de 13 de diciembre, de
Protección de Datos de Carácter Personal)

Artículo 43. Responsables.
1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al
régimen sancionador establecido en la presente Ley.
2. Cuando se trate de ficheros de titularidad pública se estará, en cuanto al procedimiento y a
las sanciones, a lo dispuesto en los artículos 46 y 48 de la presente Ley».

Artículo 44. Tipos de infracciones.
1. Las infracciones se calificarán como leves, graves o muy graves.
2. Son infracciones leves:
a). No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta
Ley o en sus disposiciones de desarrollo
b). No solicitar la inscripción del fichero de datos de carácter personal en el Registro General
de Protección de Datos.
c). El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos
de carácter personal cuando los datos sean recabados del propio interesado.
d). La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los
deberes formales establecidos en el artículo 12 de esta Ley.
3. Son infracciones graves:
a). Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de
carácter personal para los mismos, sin autorización de disposición general, publicada en el
"Boletín Oficial del Estado" o diario oficial correspondiente.
b). Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas,
cuando el mismo sea necesario conforme a lo dispuesto en esta ley y sus disposiciones de
desarrollo.
c). Tratar datos de carácter personal o usarlos posteriormente con conculcación de los
principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo
desarrollan, salvo cuando sea constitutivo de infracción muy grave.
d). La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter
personal al que se refiere el artículo 10 de la presente Ley.
2
e). El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación,
cancelación y oposición.
f). El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos
de carácter personal cuando los datos no hayan sido recabados del propio interesado.
g). El incumplimiento de los restantes deberes de notificación o requerimiento al afectado
impuestos por esta Ley y sus disposiciones de desarrollo.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter
personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
i). No atender los requerimientos o apercibimientos de la Agencia Española de Protección de
Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la
misma.
j). La obstrucción al ejercicio de la función inspectora.
k). La comunicación o cesión de los datos de carácter personal sin contar con legitimación para
ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo,
salvo que la misma sea constitutiva de infracción muy grave.
4. Son infracciones muy graves:
a). La recogida de datos en forma engañosa o fraudulenta.
b). Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del
artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la
prohibición contenida en el apartado 4 del artículo 7.
c). No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo
requerimiento del Director de la Agencia Española de Protección de Datos para ello.
d). La transferencia internacional de datos de carácter personal con destino a países que no
proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia
Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus
disposiciones de desarrollo dicha autorización no resulta necesaria»

Artículo 45, Tipo de sanciones
1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
3
a). El carácter continuado de la infracción.
b). El volumen de los tratamientos efectuados,
c). La vinculación de la actividad del infractor con la realización de tratamientos de datos de
carácter personal.
d) El volumen de negocio o actividad del infractor.
e). Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas,
i). La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad
imputada tenía implantados procedimientos adecuados de actuación en la recogida y
tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una
anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia
exigible al infractor.
j). Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y
de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la
clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la
considerada en el caso de que se trate, en los siguientes supuestos:
a). Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la
antijuridicidad del hecho como consecuencia, de la concurrencia significativa de varios de los
criterios enunciados en el apartado 4 de este artículo.
b). Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c). Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de
la infracción.
d). Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e). Cuando se hay producido un proceso de fusión por absorción y la infracción fuese anterior a
dicho proceso, no siendo imputable a la entidad absorbente».
6. Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y
atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos
en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar,
4
apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine,
acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes,
siempre que concurran los siguientes presupuestos:
a). Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en
esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera
determinado procederá la apertura del correspondiente procedimiento sancionador por dicho
incumplimiento.
7. En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase
de infracción en la que se integre la que se pretenda sancionar.
8. El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las
variaciones que experimenten los índices de precios.

Artículo 46. Infracciones de las Administraciones públicas.
1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de
titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de
dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que
procede adoptar para que cesen o se corrijan los efectos de la infracción.
Esta resolución se notificará al responsable del fichero, al órgano del que dependa
jerárquicamente y a los afectados si los hubiera.
2. El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si
procedieran.
El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen
disciplinario de las Administraciones Públicas.
3. Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con
las medidas y actuaciones a que se refieren los apartados anteriores».
4.‐ El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y
las resoluciones que dicte al amparo de los apartados anteriores.

Artículo 47. Prescripción.
1.‐ Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves
al año.
2.‐ El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera
cometido.
5
3.‐ Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del
procedimiento sancionador, reanudándose el plazo de prescripción si el expediente
sancionador estuviere paralizado durante más de seis meses por causas no imputables al
presunto infractor.
4.‐ Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas
por faltas graves a los dos años y las impuestas por faltas leves al año.
5.‐ El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a
aquél en que adquiera firmeza la resolución por la que se impone la sanción.
6.‐ La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del
procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado
durante más de seis meses por causa no imputable al infractor.

Artículo 48. Procedimiento sancionador.
1.‐ Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las
infracciones y la imposición de las sanciones a que hace referencia el presente Título.
2.‐ Las resoluciones de la Agencia Española de Protección de Datos u órgano correspondiente
de la Comunidad Autónoma agotan la vía administrativa.
3.‐ Los procedimientos sancionadores tramitados por la Agencia Española de Protección de
Datos, en ejercicio de las potestades que a la misma atribuyan esta u otras Leyes, salvo los
referidos a infracciones de la Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones, tendrán una duración máxima de seis meses.

Artículo 49. Potestad de inmovilización de ficheros.
En los supuestos, constitutivos de infracción grave o muy grave en que la persistencia en el
tratamiento de los datos de carácter personal o su comunicación o transferencia internacional
posterior pudiera suponer un grave menoscabo de los derechos fundamentales de los
afectados y en particular de su derecho a la protección de datos de carácter personal, el
órgano sancionador podrá, además de ejercer la potestad sancionadora, requerir a los
responsables de ficheros de datos de carácter personal, tanto de titularidad pública como
privada, la cesación en la utilización o cesión ilícita de los datos.
Si el requerimiento fuera desatendido, el órgano sancionador podrá, mediante resolución
motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las
personas afectadas.
Publicado por en No hay comentarios:

Deber de información y derecho de información en la recogida de datos 2º Parte

Si la recogida de los datos se ha realizado sin el conocimiento del interesado se le deberá de informar en el plazo de los tres meses siguientes al tratamiento, del contenido de cada uno de los puntos del artículo 5.1, quedando únicamente exceptuados de esta información aquellos supuestos en que una ley expresamente así lo establezca, o cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados a criterio de esta Agencia.
El incumplimiento del deber de información que contiene el precepto transcrito se encuentra tipificado como falta leve en el artículo 44.2.d) de la Ley Orgánica 15/1999: 'Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley'.

Doctrina Judicial.
Sentencia de la Sección Octava de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 25 de abril de 2001.
  • (...) el hecho que motiva la sanción no es el registro de los datos, sino su uso posterior con ocasión del contrato suscrito (....) en cuyo formato impreso no consta la información exigida en el artículo 5. (...) el registro del dato personal (..) sin su consentimiento y, desde luego, sin la preceptiva información a la que se acaba de aludir, extremo no negado por la actora que (...) reconoce que la inclusión de los datos en el fichero se hizo 'como consecuencia de una llamada telefónica subsiguiente a una cuña de radio' (..) constituye un palmario incumplimiento de las garantías exigidas en el artículo 5'.
Sentencia de la Sección Octava de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 25 de abril de 2001
  • 'En el supuesto de autos, los cupones utilizados por la recurrente para la captación inicial de colaboradores (..) no contenían la información que, con carácter preceptivo, exige el precepto transcrito, sin que el hecho de que el registro de esos datos personales tuviera (...) una permanencia instrumental y transitoria exima de ese deber de información legalmente expuesto'
Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 15 de junio de 2001.
  • 'En primer lugar, debe tenerse en cuenta que nos hallamos ante la regulación del derecho de la información a la recogida de datos, derecho importantisimo porque es el que permite llevar a cabo el ejercicio de otros derechos y así lo valora el texto positivo al pormenorizar su contenido y establecer la exigencia de que el mismo sea expreso, preciso e inequívoco. La relevancia del derecho conlleva que su exclusión requiera el mandato expreso de una norma, acogiendo una interpretación estricta, vedándose su extensión mediante artificiosas deducciones'.
Publicado por en No hay comentarios:

Deber de información y derecho de información en la recogida de datos 1º Parte

El deber de información al afectado, previo al tratamiento de sus datos de carácter personal, es uno de los principios fundamentales sobre los que se asienta la Ley Orgánica y así viene encuadrado dentro de su Título II.
Por lo que se refiere al tratamiento que se hace en la Ley Orgánica 15/1999, respecto al deber de información a las personas de las cuales se vaya a obtener cualquier tipo de datos personales, se indica que precisamente el principio de información está regulado como uno de los principios básicos de la misma. El artículo 5 señala lo siguiente:

Derecho de información en la recogida de datos.
  • Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
    • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
    • Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
    • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
    • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
    • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
  • Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
  • No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
  • Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.
  • No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
  • Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.'
  • Por tanto, cada persona de la que se pretenda recabar sus datos personales deberá ser informada previamente de todo el contenido del artículo 5.1 para que así conozca con qué finalidad se van a tratar, y por quién, pudiendo además en cualquier momento ejercitar sus derechos de acceso, rectificación, cancelación u oposición
Publicado por en No hay comentarios:

LOPD y Derecho a la Intimidad: El Supremo ordena quitar las cámaras que graben a vecinos

Instalar cámaras en tu casa por motivos de seguridad que graben las entradas y salidas de tu vecino constituye una intromisión ilegítima en su derecho a la intimidad personal y familiar.

El Tribunal Supremo lo declara así en una sentencia que confirma la dictada por la Audiencia de Tenerife, que condenó a retirar los aparatos de grabación y a indemnizar con 300 euros a la persona cuyas entradas y salidas de su casa quedaban registradas en las grabaciones.

La sentencia del alto tribunal, de la que ha sido ponente el presidente de la Sala de lo Civil, Juan Antonio Xiol Ríos, considera que "la grabación de las entradas y salidas del domicilio" por sus tres entradas "afectan, aun cuando sólo sea tangencialmente, a la esfera íntima donde se desarrolla la vida del actor y suponen un control o vigilancia sobre una faceta que toda persona reserva para sí misma o su círculo íntimo".

Por eso, la instalación de las cámaras "no supera el juicio de proporcionalidad" que debe realizarse para ver qué derecho prevalece: el de garantizar los bienes y la seguridad del vecino que instaló los aparatos o el de quien vive en la vivienda anexa y ve mermada su intimidad con la medida acordada por el primero.
Publicado por en No hay comentarios:

Sanción por facilitar datos de ancianos a una farmacia

El Supremo mantiene la sanción a una residencia de la tercera edad por vulnerar la Ley de Protección de Datos, al dar a una farmacia una lista con datos de residentes como el DNI, nombre y cuenta bancaria.
El Tribunal Supremo confirma la sanción de la Agencia Española de Protección de Datos (AEPD) a una residencia de ancianos por facilitar a una farmacia un listado con datos personales de los residentes. El Alto Tribunal ratifica la multa de 300.506 euros a la residencia.

Según los hechos, tras una inspección en la farmacia, el titular de la misma reconoció que la residencia de ancianos le facilitó un listado con una relación de sus clientes. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social.
El titular de la farmacia reconoce que la residencia de ancianos es uno de sus principales clientes y que las órdenes de pedido se refieren tanto a productos cubiertos por la Seguridad Social como a no cubiertos. En este segundo caso, el Centro Residencial comunica, bien por teléfono o por escrito, la relación de los productos con indicación del residente para el que se solicitan.

El listado aportado por la residencia de ancianos contenía los siguientes campos de información: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. En la residencia de mayores se verificó que en sus equipos informáticos se encontraba un fichero automatizado tipo hoja de cálculo Excel, cuyo formato coincide exactamente con el listado aportado a la inspección por el titular de la farmacia. Los datos contenidos en el fichero corresponden a 162 residentes del centro, los cuales figuran también en el listado aportado a la Inspección por el titular farmacéutico.
Asimismo, ha quedado probado que en los contratos suscritos entre la residencia y los residentes no se informa a los mismos sobre los derechos que les asisten contemplados en la Ley Orgánica de Protección de Datos (LOPD).
Por su parte, la residencia de ancianos argumenta que el servicio que presta a los residentes es un servicio de atención integral de todas sus necesidades, incluidas las de acceso a medicamentos y artículos de higiene personal. Añade que “la prestación de esa concreta asistencia sólo puede realizarse mediante la confección de un pedido a la farmacia y con la facilitación de los datos de cada persona a los efectos de cobro”.
La Sala destaca que no está en condiciones de determinar el modo en que se debe proceder al suministro de medicamentos y productos de parafarmacia a las personas que se encuentran ingresadas en una residencia en la que reciben una asistencia integral. “No obstante, lo que sí se puede afirmar sin temor a error es que el mecanismo ideado para proceder a ese suministro produce claras infracciones de los derechos a la protección de datos de las personas ingresadas”, apunta.

Información expresa El Supremo insiste en que la prestación del servicio farmacéutico por parte de la recurrente a sus residentes no fue precedido de una información expresa en la que se hiciese saber a los residentes la facilitación de sus datos de carácter personal a la oficina de farmacia. Según la Sala, tampoco puede sostenerse que la información requerida esté implícita en la relación jurídica aceptada por los residentes, aún cuando se admita que la relación de mención abarca una asistencia integral que incluye el servicio farmacéutico. Por todo ello, se desestima el recurso de casación interpuesto por Sanidad y Residencias 21 S.A, contra sentencia de la Audiencia Nacional, que confirma la sanción de la AEPD de 300.506 euros. (TS 08/10/2010, Rº 4353/06).

Otros recursos a las decisiones de la Agencia La AEPD ha sancionado recientemente a varias compañías. La empresa editorial Círculo de Lectores fue sancionada al haber cedido datos de exsocios para fines promocionales. Hace un año, el Supremo confirmaba la sanción a una mutua por dar información sobre el trabajador obtenida en un reconocimiento anterior cuando trabajaba para otra empresa. Sin embargo, el Supremo daba un varapalo al afán recaudatorio de la Agencia y anuló la sanción a Metrovacesa por ceder el teléfono móvil de un cliente a una caja de ahorros.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)