El ámbito de aplicación es para todas las empresas que trabajen con datos personales (la inmensa mayoría) y está
destinada a proteger los datos personales almacenados en los sistemas de información en función de su sensibilidad.

El manual recoge muchas recomendaciones técnicas contextualizadas artículo por artículo (relevante en tecnología), del reglamento de la LOPD. Servirá de ayuda a técnicos, directores de sistemas y directores de seguridad que trabajen con Windows y que deben plasmar en configuraciones técnicas concretas, las exigencias legales de un
reglamento como el de la LOPD. El manual es también útil para los no técnicos que necesiten entender con un lenguaje llano y no especializado, el reglamento.

En cualquier caso, el libro no es ninguna fórmula mágica para cumplir con la LOPD. Cumplir por completo con la ley es mucho más complejo que lo que recoge el libro. Aun así, supone una lectura necesaria para descubrir la “traducción técnica” de las leyes, a veces redactadas con un lenguaje poco práctico para ser llevado a la realidad.

Fuente: HISPASEC

Más información:

• Libro de la Ley Orgánica de Protección de datos
• Los coautores son:
  • José María Alonso Cebrián de Informática 64, Microsoft MVP en el área
    de Seguridad.
  • Juan Luís García Rambla de Informática 64, Microsoft MVP en el área de
    Seguridad.
  • Antonio Soto. Director de Solid Quality.
  • David Suz Pérez. Consultor de Microsoft Ibérica.
  • José Helguero Sainz. Director General de Helas Consultores. Miembro de
    la Comisión de Seguridad de ASIMELEC.
  • María Estrella Blanco Patiño, Responsable de publicaciones de Helas
  • Consultores: Miguel Vega Martín, Director de Marketing de IPS Certification
    Authority. Miembro de la Comisión de Seguridad de ASIMELEC; Héctor Sánchez Montenegro. National Technology Officer de Microsoft Ibérica.

Estos hechos, unido a la posibilidad de notificar y comunicar a los interesadosa través de las sedes electrónicas y los boletines oficiales en Internet, tras la aprobación de la ley 11/2007 LAESCP, abre la necesidad de establecer una reglamentación en la que se establezca una relación entre la necesidad de publicar y los principios de la LOPD.

Cabe aclarar que la ley 30/1992 LRJPAC limita la publicidad de los actos administrativos a los casos en que exista una pluralidad abierta de interesados, a los procedimientos selectivos o de concurrencia competitiva o cuando existan problemas de notificación (artículo 59). Por tanto, no es necesario el consentimiento previo del afectado para la publicación de sus datos personales en Boletines Oficiales o páginas web cuando esta publicación se fundamente en alguno de los supuestos previstos en la Ley 30/1992.

Pero la ley 15/1999 LOPD, indica que los datos personales deberán ser “pertinentes y no excesivos en relación con el ámbito y las finalidades”. Además de considerar los boletines oficiales, una fuente accesible al público y, por tanto, abierta a que cualquiera lo pueda consultar y obtener datos del mismo.

En este sentido, se hace necesario establecer mecanismos que permitan ejercer la caducidad de los datos (publicados) cuando estos hayan perdido la finalidad para la que se recabaron y, de este modo, evitar que los buscadores los sigan indexando.

Se pueden considererar distintos niveles de injerencia en el derecho fundamental a la protección de datos personales derivado de los distintos niveles de publicidad. Así, el acceso a información pública puede ser más o menos gravoso en relación con el derecho fundamental a la protección de datos personales dependiendo de la clase de publicidad:

• el acceso en un registro público a una información administrativa en la que se contengan datos personales,
• copia del expediente,
• a la publicación de esa información en un tablón de anuncios,
• a la publicación en una Intranet,
• a la publicación en un espacio privado en Internet,
• a la publicación abierta en Internet en un tablón de anuncios electrónicos y
• a la publicación en un Boletín Oficial.

En consecuencia la Agencia de proteccion de datos de la CAM ha publicado una Recomendacion para regular la publicacion en los boletines oficiales. Se abordan, entre otros supuestos, la publicación de datos relativos a  procedimientos de concurrencia competitiva, tales como los referentes a procesos selectivos de acceso a la función pública, la publicación de datos relativos a la provisión de puestos de trabajo por concurso y libre designación, la publicación de datos relativos a subvenciones o la publicación de datos relativos a procedimientos de obtención de plazas en colegios públicos y colegios concertados. Tambien se han abordado las singularidades derivadas de la publicación de datos relativos a procedimientos de concurrencia no competitiva, como los referidos a la publicación de los resultados de los procesos de evaluación de la actividad docente, investigadora y de gestión realizados por la universidad, la publicación de calificaciones de alumnos o la publicación de ayudas a empleados públicos. Asimismo, en la Recomendación se aborda la publicación de los listados de colegiados, la publicación de directorios y la  publicación de censos electorales. Finalmente, se ofrece respuesta a otros supuestos de publicidad de la actividad administrativa, tales como los derivados de la publicación de sesiones y acuerdos del Pleno de las Corporaciones Locales y de otros órganos de la Administración Local, de la publicación de retribuciones de los empleados públicos, de la publicación de ponencias y presentaciones, de la publicidad del Registro de Intereses de las Corporaciones Locales, y de la publicación de notificaciones y resoluciones administrativas.

Enlaces:

• Recomendacion 2/2008 de a Agencia de proteccion de datos de la CAM

La AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) invita a cualquier profesional, empresario, institución o ciudadano a una sesión pública, abierta, gratuita y, esencialmente práctica dirigida a resolver cuantas preguntas deseen formularnos, y en la que se analizarán también las principales novedades acaecidas en el último año en materia de protección de datos personales tanto en el ámbito nacional como internacional

LUGAR: Auditorio de la Universidad CARLOS III de Madrid.
(Avenida de la Universidad, nº 30, 28911 – Leganés)

FECHA : 28 de enero de 2009

Más información: aquí

El Reglamento acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que pudieran existir en la actualidad, con especial atención a todo aquello que pueda suscitar una mayor sensibilidad a los titulares del derecho y los sujetos obligados por la Ley. Recoge, además, la interpretación que de la Ley Orgánica han efectuado los Tribunales a través de la jurisprudencia.

Innovaciones más destacables

La norma incluye expresamente en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados (en papel) y fija criterios específicos sobre medidas de seguridad de los mismos.

Igualmente, regula todo un procedimiento para garantizar que cualquier persona, antes de consentir que sus datos sean recogidos y tratados, pueda tener un pleno conocimiento de la utilización que estos datos vayan a tener.

Aunque la norma no es de aplicación a personas fallecidas, para evitar situaciones dolorosas a sus allegados se prevé que éstos puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de los datos.

Para  garantizar mejor el derecho de las personas a controlar la exactitud y utilización de sus datos personales, se exige de manera expresa al responsable de esos ficheros de datos que conceda al interesado un medio sencillo y gratuito para permitir a aquéllas ejercitar su derecho de acceso, rectificación, cancelación y oposición.

Incremento de medidas de seguridad

Se incrementa la protección ofrecida a los datos de carácter personal en varios aspectos:

• Pasan de un nivel básico de seguridad al nivel medio los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social que tengan relación con sus competencias y las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social. También pasan al nivel medio de seguridad los ficheros que contengan datos de carácter personal sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.
• Igualmente, desde un nivel básico pasan al nivel medio los ficheros de los que son responsables los operadores de servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas sobre datos de tráfico y de localización. Además, se exige a estos operadores establecer un registro de acceso a tales datos para determinar quien ha intentado acceder a esos datos, fecha y hora en que se ha intentado este acceso y si ha sido autorizado o denegado.
• Desde el nivel básico de seguridad pasan a un nivel alto todos los datos derivados de la violencia de género.

Para facilitar a los obligados a cumplir las medidas de seguridad, se exige que los productos de software destinados al tratamiento de datos personales incluyan en su descripción el nivel de seguridad, ya sea básico, medio o alto, que permiten alcanzar de acuerdo con el Reglamento.

Por otra parte, se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad, que incidirán sobre todo en el ámbito de las PYMES.

Medidas de seguridad específicas para ficheros y tratamientos no informatizados (papel)

• Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos y el ejercicio del derecho de oposición al tratamiento, rectificación y cancelación de los datos.
• Los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre (llave) que impidan el acceso a la documentación por personas no autorizadas. Mientras esa documentación no esté archivada, la persona que esté a su cargo deberá custodiarla, impidiendo que acceda a ella quien no esté autorizado.
• Cuando estos ficheros contengan datos incluidos en un nivel de seguridad alto, deberán estar en áreas cerradas con el dispositivo de seguridad pertinente (puertas con llave), pero, si por las características de los locales, no puede cumplirse esta medida, se permite aplicar otra alternativa que impida a las personas que no están autorizadas el acceso a esta documentación.

Régimen transitorio de aplicación

Para el cumplimiento de las nuevas medidas de seguridad se establece un régimen transitorio de implantación de las mismas a los ficheros y tratamientos actualmente existentes. En este caso, para los ficheros en soportes no automatizados se fijan plazos de un año, dieciocho meses y dos años para los niveles básico, medio y alto, respectivamente.

En cuanto a los ficheros automatizados, en un año deberán implantarse las medidas de seguridad de nivel medio para aquellos que en la actualidad están clasificados como de nivel básico; en el plazo de un año para implantar las medidas de seguridad de nivel medio y de dieciocho meses para implantar las medidas de nivel alto los ficheros con datos sobre violencia de género y los datos referentes a tráfico y localización en comunicaciones electrónicas disponibles al público, que actualmente están en el nivel básico.

Tratamiento de datos de menores de edad

• Como regla general, se prohíbe pedir o tratar datos de menores de catorce años sin el consentimiento de sus padres.
• Además, los menores de edad deberán ser informados con un lenguaje claro, que les sea fácilmente comprensible y se tendrá que garantizar que se ha comprobado la edad del menor y la autenticidad del consentimiento prestado.

Se introducen importantes novedades en el tratamiento de ficheros sobre solvencia patrimonial y crédito.

Para la inclusión de estos datos, además de la existencia previa de una deuda cierta, vencida y exigible que haya resultado impagada, es necesario que no se haya entablado una reclamación de tipo judicial, arbitral o administrativa sobre la misma.

• En cuanto que la deuda haya sido pagada, deberán ser cancelados de manera inmediata los datos relativos a ella.
• Se establece la responsabilidad del acreedor, o persona que actúe por su cuenta, si aporta datos inexactos para su inclusión en el fichero.
• Se regula de forma detallada el deber de información al deudor. 

Regulación de actividades de publicidad y prospección comercial

• La entidad que contrate con una empresa la realización de una campaña publicitaria estará obligada a asegurarse de que ésta ha recabado los datos cumpliendo con todo lo establecido en la Ley.
• Será obligatorio el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios.
• Se regulan las denominadas “listas de exclusión” o “listas Robinson” para que cualquier afectado, que obligatoriamente debe ser informado de su existencia, pueda comunicar al responsable de un fichero que no desea recibir publicidad. Estas listas serán de obligada consulta previa por parte de quienes realicen actividades de publicidad o prospección comercial.

Ante la creciente externalización de estos servicios , se regulan de manera detallada las relaciones entre el responsable del tratamiento y el encargado del mismo. Así, el responsable del fichero que encargue esa contratación tendrá que vigilar que el encargado al que va a contratar reúne las garantías para cumplir el régimen de protección de los datos, en especial en cuanto a su conservación y seguridad.

Como regla general, para que el encargado del tratamiento contratado pueda a su vez subcontratar algunos de los servicios, debe estar autorizado por el responsable del fichero o tratamiento. Se exigen determinados requisitos de actuación por parte del subcontratista, a fin de que el responsable del fichero nunca pierda el conocimiento y control acerca de los tratamientos realizados, en última instancia, en su nombre y su cuenta.

Tarjeta sanitaria

Para facilitar la asistencia sanitaria por el Sistema Nacional de Salud y facilitar la utilización de la tarjeta sanitaria individual, expresamente se aclara que no es necesario el consentimiento del interesado para la comunicación de datos sobre la salud, incluso a través de medios electrónicos, entre los distintos centros, cuando se realice para la atención sanitaria de las personas.

Transferencias internacionales de datos

• Se establece un régimen sistemático de las mismas, con la posibilidad de que el Director de la Agencia Española de Protección de Datos declara la existencia de un nivel adecuado de protección en un Estado respecto del que no exista la Decisión adecuada por parte de la Unión Europea.
• También se aclaran los supuestos en se podrán aportar garantías que permitan la autorización de una transferencia por parte del Director, incluyendo en este apartado las denominadas “binding corporate rules”, o códigos internos de los grupos multinacionales de empresas, cuyo incumplimiento pudiera ser denunciado ante la Agencia.
• Se introduce la opción de suspensión o revocación de una determinada transferencia que hubiera sido previamente autorizada por parte del Director de la Agencia Española de Protección de Datos cuando se hubiera dado incumplimiento o falta de garantías.
• Teniendo en cuenta las sensibilidades que se pudieran dar en la transferencia internacional de datos, sobre todo cuando pueda implicar la deslocalización de servicios prestados en territorio español, se incluirá un procedimiento de autorización de un trámite de información pública, donde se podrán aportar alegaciones sobre la legalidad de estas actuaciones.

Más información en La Moncloa.

La Administraciones Públicas tendrán que publicar en Internet, para uso y disfrute del conjunto de la sociedad, toda la propiedad intelectual que esté en sus manos. Así lo establece el dictamen de la Ley de Medidas de Impulso a la Sociedad de la Información, que ha sido aprobado por el Congreso de los Diputados, con el apoyo de todos los grupos parlamentarios menos el Partido Popular.

“Los contenidos de titularidad pública podrán ser reutilizados públicamente para copia, estudio o distribución de forma libre. Se trata de un paso fundamental hacia una sociedad con acceso libre al conocimiento para todas las personas”, declaró la diputada del PSOE Lourdes Muñoz.

Aunque la ley no establece una fecha para que los contenidos de la Administración estén disponibles para todos los ciudadanos, desde el Grupo Socialista esperan que en los próximos años “se vaya digitalizando todo lo esencial para que esté disponible”. “De esta forma, todos los archivos de la Biblioteca Nacional o los mapas oceanográficos, por poner un par de ejemplos, estarán al alcance de todos los ciudadanos”, explicó Muñoz.

La ley también establece que ninguna página web se pueda cerrar sin intervención judicial cuando se trate de derechos fundamentales de libertad de expresión, información o cátedra. No obstante, otras autoridades competentes podrán intervenir páginas webs para garantizar derechos en ámbitos como la seguridad, la salud, el consumo o la protección de la infancia.

Por su parte, el diputado de CiU Jordi Vilajoana subrayó que la nueva normativa establece el servicio universal de banda ancha en Internet para 2008, lo que, a su juicio, “ayudará a romper la brecha digital en España”.

Via: ELPAIS

Este tipo de problemas daña bastante la imagen de una empresa, pero si a mi me hubiera ocurrido no me sentiría en el derecho de quejarme. Hay que tener en cuenta que es un servicio que está en Beta y además es gratuito. Otra cosa distinta sería si fuera de pago. Evidentemente en cualquiera de los dos casos si el problema me hubiera supuesto algún trastorno la queja más sencilla es la que más daño hace: dejar de usar el servicio

La causa ha sido un fallo en la seguridad de la entidad que ha permitido, a través del ‘software’ de intercambio de archivos eMule, el acceso no autorizado a más de 20.000 ficheros con datos personales de sus trabajadores.

Recordar que los ficheros que contienen datos de caracter personal están protegidos por la ley organica 15/1999 y las medidas de seguridad a aplicar a estos ficheros y sus tratamientos se recoge en el RD994/1999. Estas medidas se consideran un valor de mínimos y se agrupan atendiendo a la criticidad de los datos. Los datos que gozan de una mayor proteccion son los relativos a salud, origen racial, sexo, creencias, religion e ideologías.

En este caso concreto, el acceso se produjo a través de un programa de intercambio de archivos, como eMule, que permite compartir todo tipo de datos como programas, música, videojuegos y películas, con todos aquellos usuarios que tengan instalado el mismo ‘software’ en sus ordenadores personales. A través de estos programas se puede acceder a los datos volcados en las carpetas públicas de otro ordenador, por lo que la AEPD ha aconsejado “seleccionar y delimitar correctamente” la información que se desea compartir en dichos directorios.

Además, la Agencia Española de Protección de Datos, considera necesario que “se controle la instalación de sistemas de intercambio de ficheros en los centros de trabajo” debido a los riesgos que conlleva en cuanto a la difusión de información confidencial.
Asimismo, la AEPD aconseja que, en el caso de que se empleen estos programas, se implanten medidas de seguridad tales como cortafuegos para evitar el acceso no deseado al propio ordenador.

Fuente: Agencia EFE