La Agencia Española de Protección de Datos (AEPD) analizará el cumplimiento de las garantías de protección de datos en 164 hospitales, públicos y privados, de toda España.

La AEPD ha elaborado un cuestionario, sobre el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) y su normativa de desarrollo, y los centros hospitalarios seleccionados deberán emitir un informe, antes del 31 de Mayo, basado en las respuestas al cuestionario.

La iniciativa de evaluar el nivel de cumplimiento de los centros hospitalarios, se debe, principalmente, a la cantidad de los procedimientos de tramitados por la Agencia por la vulneración del deber de secreto y seguridad por parte de los centros hospitalarios, así como en incremento de tutelas de derecho relacionadas con el acceso a historias clínicas por parte de los ciudadanos.

Durante el año 2009, las denuncias en el sector sanidad se han centrado principalmente en los siguientes aspectos:

Aparición de documentación clínica en la vía pública, así como el almacenamiento inadecuado de la documentación, que en muchas ocasiones, se encuentra en áreas no restringidas al público, y al alcance de cualquiera.

La falta de adopción de las necesarias medidas de seguridad para proteger historias clínicas de pacientes, en el uso de redes de intercambio de archivos P2P, como “e-mule”.

Comunicaciones indebidas de historias clínicas a terceras personas no autorizadas.

Por otra parte, el incremento significativo de las Tutelas de Derechos relacionadas con el acceso a la historia clínica, ya que en la mayoría de los casos, se considera que se suministra de manera incompleta, amparándose los centros hospitalarios en la reserva de las anotaciones subjetivas de los facultativos

El director de la Agencia Española de Protección de Datos (AEPD), Artemi Rallo, participó la pasada semana en el foro “Libertad de expresión vs. Ley de protección de datos”, en el se plantearon los principales conflictos que surgen en nuestro país por la relación entre el derecho fundamental a la Protección de Datos y la libertad de expresión, especialmente en el ámbito de internet.

Durante el foro, Artemi Rallo, afirma que los buscadores "no son un medio de comunicación" por lo que no están amparados por el derecho a la libertad de información y hay determinados contenidos que un medio digital puede publicar, pero que el buscador está obligado a no indexar.
Asimismo, se aconsejó a los medios el empleo de medidas informáticas, para que, en el caso de que concurran intereses legítimos de un particular y la relevancia del hecho haya dejado de existir se evite la indexación de la noticia por los motores de búsqueda de internet.

Finalmente, el director de la AEPD, indicó que ningún ciudadano que no goce de la condición de personaje público, ni sea objeto de hecho noticiable de relevancia pública tiene que “resignarse a soportar que sus datos de carácter personal circulen por la Red sin poder reaccionar ni corregir la inclusión de los mismos en un sistema de comunicación universal como internet.

Ayer se celebró el día de internet seguro, con el objeto de promover el uso responsable y seguro de las nuevas tecnologías entre los usuarios, y haciendo una especial incidencia en los menores y jóvenes.
Internet es, una ventana con acceso a una cantidad inmensa de información, pero también entraña una serie de riesgos para los menores, como puede ser el ciberacoso o el acoso sexual por parte de adultos, en la mayoría de los casos, estos acosos comienzan en presiones al menor para que facilite datos referentes a su identidad y de su entorno familiar.
La AEPD, con motivo de esta celebración, ha aprovechado para reclamar un compromiso activo por parte de los prestadores de servicios de internet, tales como las redes sociales, recordándoles que no pueden recabar el consentimiento de menores de 14 años si no tienen el consentimiento de los padres e insistiendo en la necesidad de implantar sistemas de verificación de la edad, que sigue siendo una de las asignaturas pendientes en la mayoría de las redes sociales.
Igualmente, la AEPD, ha manifestado que se deberá adoptar un compromiso de las autoridades educativas con el fin de que se incluyan en los planes educativos, formación relacionada con estas materias en el campo de las nuevas tecnologías, y la necesidad de que los padres adopten una posición más activa en el uso de las nuevas tecnologías.

El próximo 28 de enero se celebra “el Día de Protección de Datos”, una jornada promovida por el Consejo de Europa, la Comisión Europea y todas las autoridades de protección de datos de los países miembros de la Unión Europea.

La celebración del Día de Protección de Datos en Europa tiene como objetivo principal impulsar el conocimiento entre los ciudadanos europeos de cuáles son sus derechos y responsabilidades en materia de protección de datos, de forma que puedan familiarizarse con un derecho fundamental, que pese a ser menos conocido, está presente en todas las faceta de sus vidas diarias.

El año 2007 se celebró por primera vez el “Día de Protección de Datos”, después de que en abril de 2006 el Comité de Ministros del Consejo de Europa estableciera esta celebración, con carácter anual en Europa, el día 28 de enero, conmemorando así el aniversario de la firma del Convenio 108 del Consejo de Europa. Este Convenio se suscribió el 28 de enero de 1981 al objeto de garantizar en el territorio de cada estado parte a cualquier persona física el derecho a la vida privada con respecto al tratamiento automatizado de los datos de carácter personal.

Los días 4, 5 y 6 de Noviembre se ha celebrado en Madrid la 31 Conferencia Internacional de la Protección de Datos y Privacidad en la que se han propuesto unos Estándares Internacionales comunes para la protección de privacidad que contribuya a una mayor protección de los derechos y libertades individuales a nivel global.

Tal y como ha señalado el Director de la Agencia Española de Protección de Datos, Artemi Rallo, los estándares son una propuesta de mínimos internacionales, que recogen un conjunto de principios y derechos para alcanzar un consenso internacional y que sirva como referencia para aquellos países que no posean un marco normativo en la materia.

El contenido de la “Resolución de Madrid” establece, entre otros, los siguientes aspectos:

- Principios básicos de lealtad, legalidad, proporcionalidad, calidad, transparecia y  responsabilidad en la protección de la privacidad a nivel internacional.

- La existencia de una autoridad de supervisión y de que existe una coordinación y cooperación entre los diferentes estados.

- Conjunto de Derechos de Acceso, rectificación, cancelación u oposición, así como la forma de ejercitarlos.

- Deberes como el de seguridad y confidencialidad de los datos, que afecta tanto a la persona responsable de los datos como a quienes intervengan en cualquier fase en la que se manejen datos personales.

- Requisitos que deben cumplirse para la recogida, conservación, utilización, comunicación o cancelación de datos personales.

- Definición de datos sensibles como aquellos que afectan a la esfera más íntima de la persona.

- Transferencias internacionales.

- Medidas proactivas, por las que se insta a Estados a promover el mejor cumplimiento de la legislación aplicable en materia de protección de datos.

Varios medios de comunicación se hacían hoy eco de la aparición, en la vía pública, de un listado en el que constan datos personales y clínicos de pacientes a los que se les hizo un trasplante de corazón en el Hospital Clinic de Barcelona entre 1998 y 2007, más concretamente aparecen datos de 173 trasplantados en el citado hospital, junto a otra documentación de menor relevancia
La citada documentación se habían depositado dentro de cajas en un contenedor de papel, sin adoptar mayores medidas, hasta que alguien tumbó las cajas y el viento expandió los papeles por la acera.
No es la primera vez que sucede algo similar y aparecen datos de historias clínicas de hospitales públicos y privados sobre los que no se han adoptado las medidas que establece el RD 1720/2007 de Medidas de Seguridad con respecto a la documentación en papel.
Desde primera hora de la mañana, el centro está siendo investigado por la Agencia Catalana de Protección de Datos y el Hospital ha declarado, que abrirá una investigación interna para descubrir el origen de los documentos confidenciales encontrados junto a un contenedor, y que pedirá disculpas personalizadas a los 173 enfermos afectados por esta negligencia.

El pasado 13 de octubre fue publicado el último barómetro del CIS (Centro de Investigaciones Sociológicas) correspondiente al mes de septiembre, en el mismo se incluyen apartados en los que se hace referencia a la Protección de Datos.

CONOCIMIENTO DE LOS CIUDADANOS

Según el estudio un 70% de la población está preocupada o muy preocupada por la protección de datos y el uso de los mismos por otras personas, aunque sólo un 48% conoce la existencia de una ley que le proteja contra los posibles abusos que puedan producirse con sus datos personales.

El estudio establece que un 25% ha solicitado en algún momento la cancelación de sus datos de carácter personal, los principales motivos del ejercicio de Derecho de Cancelación han sido para darse de baja de un servicio o para no recibir más publicidad.

INTERNET

La red es el lugar donde los ciudadanos consideran que menos protegidos están sus datos de carácter personal, un 70% considera que el uso de internet favorece la intromisión en la vida privada de las personas.

Una de las mayores preocupaciones es el uso por menores de redes sociales, foros, Chat, etc., un 60% considera que debería de haber más controles, y que estos corresponden a los padres.

VIDEOVIGILANCIA

La mayoría de los encuestados se muestra favorable a la colocación de cámaras de seguridad, un 70%, mientras que sólo el 10% de la población se posiciona en contra, los motivos principales es la pérdida de intimidad.

Los ciudadanos son más favorables a la instalación de cámaras de vigilancia en bancos, comercios, hospitales, guarderías y colegios y transporte público, y en menor medida en lugares de trabajo, ocio y bares y restaurantes.

La Agencia Española de Protección de datos (AEPD) ha publicado recientemente el Informe 0412/2009, en el que cambia el criterio que hasta ahora venía apoyando, en cuanto a la viabilidad o no de las cesiones de datos de trabajadores (TC2 y Nóminas) de las subcontratas a la contratista principal.

Hasta ahora, y según un informe de la propia Agencia de 21 de Enero de 2007, se consideraba que en ningún caso se pueden comunicar, sin consentimiento, los datos de TC2 ni nóminas, dado que en los mismos aparecen datos especialmente protegidos (salud), y el Art. 7.3 de la LO 15/1999 de Protección de Datos de Carácter Personal (LOPD) dispone que para ceder datos de salud, es necesario, o el consentimiento expreso del afectado o que una ley lo disponga. En este caso la Ley que podría habilitar la cesión sería el Art. 42 del Estatuto de los Trabajadores, sin embargo, la AEPD  estableció, que tal y como dicta el citado artículo, será suficiente con que la subcontrata aporte los certificados de estar al corriente en sus pagos con la seguridad social a la empresa contratista, sin que exista la necesidad de facilitar más información sobre los empleados.

En el nuevo Informe 0412/2009, la AEPD analiza de manera independiente el Art. 42.2 del Estatuto de los Trabajadores, en el que se establece que, el empresario principal responderá, solidariamente, de las obligaciones de naturaleza salarial y de la Seguridad Social contraídas por los subcontratistas con sus trabajadores durante el periodo de vigencia de la contrata.

Por tanto, si el contratista principal es obligado, solidariamente, al pago de la deuda salarial y de la Seguridad Social durante el periodo de la vigencia de la contrata, deberá conocer el estado de la contratación y pago de nóminas a los trabajadores para poder cumplir con sus obligaciones solidarias.

Por todo ello, dado que el Estatuto de los Trabajadores impone un deber al empresario principal, la cesión del TC2 o las nóminas, resulta conforme con la LOPD y el Reglamento de desarrollo, pues se haya expresamente prevista en una norma con rango de ley, el Estatuto de los Trabajadores.

En todo caso, el acceso por parte de la contratista deberá limitarse a los datos de los trabajadores subcontratados, por lo que no se podrá ceder un TC2 en el que aparezcan todos los trabajadores, sino sólo de aquellos trabajadores de la empresa subcontratada que presten sus servicios en la empresa principal.

En los últimos meses, la Agencia Española de Protección de Datos (AEPD) ha impuesto varias sanciones a empresas de diversa índole, un hotel, una gasolinera, un gimnasio, etc. por el uso de cámaras de videovigilancia sin que las mismas hayan sido instaladas por empresas autorizadas.

Tal y como dispone la LO 15/1999 de Protección de Datos de Carácter Personal (LOPD) las citadas empresas cumplían con:

- Inscripción del fichero “VIDEOVIGILANCIA” en el Registro de la Agencia Española de Protección de Datos, cuya finalidad es la seguridad privada.

- Colocación los carteles en los que se informaba de la existencia de cámaras de seguridad en los accesos.

- Adopción de medidas de seguridad con el fin de evitar la visualización de las imágenes por parte de terceros no autorizados

Hasta aquí todo es correcto, pero se ha pasado por alto la Ley 23/1992 de Seguridad Privada (LSP), en cuyos Art. 6 y 7 se establece la que la videovigilancia con fines de seguridad privada debe realizarse, necesariamente, por una empresa de seguridad debidamente autorizada por el Ministerio de Interior. Así mismo, el contrato de instalación de las cámaras de seguridad, debe consignarse por escrito, ante el Ministerio de interior, con una antelación mínima de 3 días a la instalación de las cámaras.

La LOPD en su Art. 6.1 establece “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa”
Cuando se capta la imagen de la persona con las cámaras de seguridad, este no da su consentimiento inequívoco para el tratamiento de su imagen, por lo que deberíamos de ir a la segunda parte en la que se establece “salvo que una ley disponga lo contrario” en este caso la ley que permite la grabación con fines de seguridad es la citada LSP, pero, para que tenga cabida, se tendrán que cumplir los requisitos establecidos en la misma, que son principalmente la acreditación de la empresa que instala las cámaras de seguridad, así como la consignación del contrato 3 días antes de la instalación ante el Ministerio de Interior.

La facultad de derecho de Murcia en colaboración con el Ilustre Colegio de Abogados de Murcia y Legitec Consultores y Auditores, impartirá la 6ª edición del curso de Promoción Educativa “La Protección de los Datos de Carácter Personal”.
La fecha de prescripción termina el próximo 21 de Septiembre.
Precio de la inscripción: 350 euros. Se adjudicarán varias becas, preferentemente para alumnos de la Universidad de Murcia que se comprometan a realizar una labor de difusión de la protección de los datos personales en centros escolares.
Los alumnos interesados podrán realizar prácticas en las empresas del grupo Legitec.
PROGRAMA:

1. PRINCIPIOS GENERALES
2. FICHEROS DE TITULARIDAD PRIVADA
3. FICHEROS DE TITULARIDAD PÚBLICA
4. MEDIDAS DE SEGURIDAD
5. PROTECCIÓN DE DATOS E INFORMACIÓN SANITARIA
6. MARKETING Y PROSPECCIÓN COMERCIAL
7. FICHEROS DE SOLVENCIA PATRIMONIAL Y CRÉDITO
8. PROTECCIÓN DE DATOS EN LAS TELECOMUNICACIONES
9. TRANSFERENCIA INTERNACIONAL DE DATOS
10. LAS SANCIONES ADMINISTRATIVAS.

La Agencia Española de Protección de Datos (AEPD) ha sancionado a EL CORTE INGLÉS por la instalación de un sistema de videovigilancia que enfoca la vía pública.
Durante el acuerdo de inicio, la representación de “EL CORTE INGLÉS” alega que:
- La finalidad para la cual se han instalado las cámaras de videovigilancia es la protección de actos vandálicos y alunizaje.
- En todos los accesos al establecimiento, se han puesto carteles informativos en los que se advierte de la existencia de cámaras. Así mismo, se ha puesto a disposición de los interesados un documento informativo para facilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
- La empresa que realiza la instalación de las cámaras está en posesión de las autorizaciones concedidas por la Dirección General de la Policía y la Guardia Civil.
- Se ha inscrito se manera correcta en el Registro General de Protección de Datos un fichero denominado “VIDEOVIGILANCIA”
Durante la inspección, realizada el 19 de febrero de 2009, se observa que el ámbito de visión de alguna de las cámaras alcanza la vía pública y a las personas que circulan alrededor del centro, incluyendo, una zona de tránsito situada en un lateral del establecimiento, con el fin de proteger las instalaciones de actos vandálicos.
Tal y como dispone la LO 1/1992, 21 febrero, de Protección de la Seguridad Ciudadana, la erradicación de la violencia y la utilización pacífica de las vías y espacios públicos corresponde en exclusiva a las Fuerza y Cuerpos de Seguridad del Estado.
El Art. 13 de la citada ley dispone que el Ministerio de Interior podrá ordenar la adopción de medidas de seguridad necesarias en establecimientos e instalaciones industriales, comerciales y de servicios, para prevenir la comisión de actos delictivos.
En el RD 2364/1994, de 9 de diciembre, por el que se aprueba el Reglamento de Seguridad Privada, en su Art. 111.1 y 112.1 establece que de acuerdo con el citado Art.13 de la LO 1/1992, la Secretaría de Estado de Interior, puede ordenar a las empresas industriales, comerciales y de servicio que adopten sistemas de seguridad y protección, por tanto, el Ministerio de Interior puede exigir medidas preventivas en la instalaciones comerciales para prevenir la comisión de delitos que generen riesgos para terceros, sin embargo en la instalación de cámaras de seguridad de “EL CORTE INGLÉS” no consta que se haya producido esta autorización.
Por otro lado, la LO 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las fuerzas y cuerpos de seguridad en lugares públicos, que en su Art. 1 establece:
“La presente Ley regula la utilización por las Fuerzas y Cuerpos de Seguridad de videocámaras para grabar imágenes y sonidos en lugares públicos, abiertos o cerrados, y su posterior tratamiento, a fin de contribuir a asegurar la convivencia ciudadana, la erradicación de la violencia y la utilización pacífica de las vías y espacios públicos, así como de prevenir la comisión de delitos, faltas e infracciones relacionados con la seguridad pública”
El Art. 3.1 y 2
1. La instalación de videocámaras o de cualquier medio técnico análogo en los términos del artículo 1.2 de la presente Ley está sujeta al régimen de autorización, que se otorgará, en su caso, previo informe de un órgano colegiado presidido por un Magistrado y en cuya composición no serán mayoría los miembros dependientes de la Administración autorizante.
2. Las instalaciones fijas de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado y de las Corporaciones Locales serán autorizadas por el Delegado del Gobierno en la Comunidad Autónoma de que se trate, previo informe de una Comisión cuya presidencia corresponderá al Presidente del Tribunal Superior de Justicia de la misma Comunidad. La composición y funcionamiento de la Comisión, así como la participación de los municipios en ella, se determinarán reglamentariamente.
En virtud de lo expuesto, se destaca que la instalación de videocámaras en lugares públicos es competencia exclusiva de la Fuerzas y Cuerpos de Seguridad.
EL CORTE INGLÉS, alega que en las grabaciones se oculta la calzada por la que circulan los vehículos y que sólo permite ver la vía pública en el espacio inmediatamente aledaño a la fachada del establecimiento, y que es inevitable para evitar actos delictivos. Dicha alegación se desestima por la AEPD ya que no resulta imprescindible, para la función de vigilancia del establecimiento, la grabación de la vía pública. Lo adecuado y no excesivo hubiera sido que dichas cámaras sólo tomarán imágenes de las entradas del edificio y un espacio mínimo de la vía pública, sin embargo durante la inspección se comprobó que las cámaras del exterior grababan imágenes de tráfico rodado y la acera, todo ello con claridad.
Por tanto, la AEPD sanciona con  60.101,21 euros al EL CORTE INGLÉS por infracción del Art. 6 de la LOPD, ya que no se cuenta con el consentimiento de los interesados para el tratamiento de sus datos el cual debe de ser informado, específico, libre e inequívoco o bien que no sea necesario el  consentimiento por existir una habilitación legal, que no se da en el presente caso.

Recientemente, la Agencia Española de Protección de Datos (AGPD) ha realizado un informe sobre la publicación de imágenes de alumnos en la página web de los centros escolares.
En el mismo se analizan varios puntos:

1. ¿Se consideran las imágenes de los alumnos datos de carácter personal? Las mismas serán consideradas datos de carácter personal siempre que la imagen permita identificar a las personas que aparezcan en la foto, ya que, tal y como se establece en el Artículo 5.1 del RD 1720/2007 se considera datos de carácter personal “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a las personas físicas identificativas o identificables".Puesto que se trata de datos de carácter personal, se deberá de contar con el consentimiento del afectado para el tratamiento de los mismos salvo que la ley disponga otra cosa.
2. ¿Y si la imagen pertenece a un menor? Se tendrá en cuenta lo previsto en el Artículo 13 del RD 1720/2007 “Podrá procederse al tratamiento de los datos de los mayores de 14 años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de 14 años de requerirá el consentimiento de los padres o tutores”
3. La publicación en la página web, conlleva una cesión de datos, para la cual se debe requerir el consentimiento del interesado, si este es mayor de 14 años o de sus padres o tutores si es menor.

De lo analizado se desprende que tanto para la toma de la fotografía como para su posterior publicación en Internet, es necesaria el consentimiento del interesado, o  en los supuestos en los que sea menor de 14 años, el de sus padres.
Este consentimiento, se podrá solicitar en el momento en el que se realice la primera recogida de datos de carácter personal, para realizar el tratamiento de las imágenes así como su publicación en la página web del centro.

Una vez que las imágenes han sido publicadas, la LOPD establece mecanismos reactivos a través del Derecho de Cancelación, que se deberá de ejercer ante el centro escolar con el fin de que retiren las imágenes de la página web. Dicho ejercicio deberá ser atendido por el centro escolar en el plazo de 10 días, de no ser atendido se podrá recabar la tutela de esta Agencia, sin perjuicio de que la misma pueda ejercer su potestad sancionadora

La Agencia Española de Protección de Datos (AGPD), ha realizado una inspección sectorial de oficio sobre videocámaras conectadas a Internet, en el que se ha podido constatar, que el 80% de las cámaras conectadas a internet, carecen de un adecuado control de acceso.

En muchos de estos casos, las imágenes captadas pertenecen a paisajes o panorámicas, por lo que el responsable de las mismas no tiene ninguna obligación en materia de protección de datos puesto que no recaba imágenes identificadas ni identificables, pero en muchos otros casos, las imágenes son captadas en la vía pública, en el lugar de trabajo o en establecimientos comerciales, y estas imágenes se pueden difundir en abierto, lo que representa un gran riesgo para la privacidad, así como un alto grado de incumplimiento de la normativa vigente en materia de protección de datos.

La Federación de Comercio Electrónico y Marketing Directo (FECEDM) y la Agencia Española de Protección de Datos (AGPD) presentaron ayer Lista Robinson, www.listarobinson.es, un servicio en el que pueden inscribirse todos aquellos ciudadanos que deseen dejar de recibir comunicaciones comerciales no deseadas.

Lista Robinson, es un fichero de exclusión publicitaria gestionado por el FECEDM en el que las personas que se inscriban, podrán solicitar la vía a través de las cuales no desean recibir información comercial (teléfono, SMS, e-mail, etc.) así como los sectores de los que no desea recibir información. Asimismo, el servicio permitirá adicionalmente al ciudadano seleccionar entidades con las que ha mantenido o mantiene una relación contractual para manifestar su negativa a recibir publicidad telefónica, uno de los canales más utilizados en la actualidad para la realización de acciones publicitarias.

Dicho fichero deberá ser consultado obligatoriamente por todas aquellas entidades que deseen realizar envíos comerciales a personas que figuren en fuentes accesibles al público o cuyos datos son extraídos de ficheros de los que no es responsable la entidad anunciante.

A día de hoy, varios medios de comunicación se hacen eco de cómo determinadas empresas utilizan a los menores como gancho para recabar información sobre su entorno familiar y de esta manera crear bases de datos para el envío de publicidad a sus domicilios o llamadas de teléfono ofreciendo determinados productos o servicios.
Esto es una práctica común desde hace años, le ofrecen un regalito al niño a cambio de información valiosa de los padres (nombre, apellidos, dirección, teléfono, profesión, etc.)

Con la entrada en vigor RD 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y más concretamente su Art.13 hace mención expresa al tratamiento de datos en menores de edad estableciendo lo siguiente:
“1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.
2. En ningún caso podrán recabarse del menor, datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.
3. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo”

Si se analiza el citado Artículo y al mismo tiempo la forma de proceder de las citadas empresas, vemos que se están incumpliendo todos y cada uno de los apartados del mismo.
- Se  está pidiendo información a menores de 14 años sin el consentimiento de los padres.
- No sólo se recaba información de los menores sino que también se recogen datos de sus progenitores y el entorno familiar.
- No se cumple con el Deber de información tal y como establece la LO de Protección de Datos y el propio Reglamento de Medidas de Seguridad.

Ante esta situación se plantean 2 posibles vías de actuación:

1.- Charlas informativa para niños en las que se les inculque que no deben facilitar sus datos ni los de sus familiares, pero, ¿Quién le hace entender a un niño de 8 años que no puede dar sus datos,  si a cambio le ofrecen un regalo?

2.- La otra vía es la denuncia de estas empresas ante la Agencia Española de Protección de Datos, por parte de los padres que observen este tipo de actuaciones.

ASIMELEC, patronal que agrupa a las empresas del sector TIC español, ha editado la primera Guía Práctica sobre la Protección de Datos (LOPD), especialmente redactada para personas mayores. Esta guía, titulada “Aprenda a proteger sus datos”, y desarrollada en colaboración con la Agencia Española de Protección de Datos, pretende prevenir e informar a este colectivo, de manera sencilla y resumida, sobre los riesgos que se asumen al proporcionar datos sin tomar las debidas precauciones, así como sobre sus derechos a la hora de proteger sus datos ante cualquier entidad u organización que haga un uso indebido de ellos.

La Guía está disponible para su descarga en formato Pdf en este enlace

La AEPD ha publicadouna nueva guía de recomendaciones para los usuarios de Internet que incluye los siguientes contenidos
1.- Introducción
2.- Servicios de Navegación
3.- Correo Electrónico
4.- Virus, Gusanos y Ataques de Ingeniería Social
5.- Comercio y Banca Electrónica
6.- Servicios de Mensajería Instantánea y Chats
7.- Los Servicios “Peer to Peer”
8.- La Telefonía IP
9.-Las videocámaras en Internet
10.-Los buscadores
11.-La Web 2.0.
12.-La responsabilidad de los internautas
13.-El uso de Internet por menores
14.-Competencias de la Agencia Española de Protección de Datos
Glosario

Con fecha de 16 de Mayo de 2009, se ha publicado en el Diario Oficial de la Unión Europea (DOUE) una Recomendación de la Comisión sobre la incidencia de los sistemas de identificación por Radiofrecuencia (RFID) la protección de datos y la intimidad de las personas.
La Recomendación pretende orientar a los Estados Miembros sobre como diseñar y hacer funcionar las aplicaciones RFID respetando el Derecho a la intimidad y garantizando la protección de los datos personales por lo que se tendrá que regular las medidas de seguridad que se van a aplicar, para garantizar la protección de datos y la intimidad de las personas, antes de que su uso se generalice.
Se puede resumir en los siguientes puntos:

Evaluaciones del impacto sobre la intimidad y la protección de datos
Estados Miembros velarán por que los operadores:
- evalúen las consecuencias de la implementación en la protección de datos y la intimidad.
- Adopten las medidas técnicas y organizativas para garantizar la protección de datos y la intimidad.
- Designen a una persona o grupo de personas para la revisión de las evaluaciones y las medidas técnicas y organizativas.
- Evaluación a disposición de la autoridad competente al menos seis semanas antes de desplegar la aplicación.

Seguridad de la información
Estados miembros deberán ayudar a la comisión a detectar las aplicaciones que pudieran plantear amenazas para la seguridad de la información, con consecuencias para el público en general.

Información y transparencia en el uso de la RFID. Los operadores deberán publicar una política de información concisa, exacta y fácil de comprender para cada una de las aplicaciones.
Dicha política deberá incluir, como mínimo:
- Identidad y domicilio de los operadores.
- La finalidad de la aplicación.
- Los datos que procesa la aplicación, en particular si son de carácter personal y si controla localización de etiquetas.
- Resumen de la evaluación del impacto sobre la protección de datos y la intimidad.
- Riesgos para la intimidad y medidas que pueden adoptar las personas para reducirlos.
Operadores deberán informar a las personas de la presencia de lectores usando un símbolo que será común para toda la Unión Europea, y en el deberá constar la identidad del operador y punto de contacto donde pueda obtener la política de información relativa a la aplicación.

Aplicaciones RFID utilizadas en el comercio al por menor.
En la evaluación del impacto sobre protección de datos e intimidad, el operador deberá determinar si las etiquetas incorporadas a los productos que se venden a los consumidores, a través de minoristas, presentan una amenaza para la intimidad o la protección de datos personales.
En el caso de que los minoristas sean al mismo tiempo operadores, se le exigirá que desactiven las etiquetas, salvo en el caso de que la persona, al ser informada del contenido de la política de información, acepten que las etiquetas sigan operativas, o que las etiquetas no supongan una amenaza. En todo caso, el minorista deberá de ofrecer un sistema sencillo y gratuito para desactivar o retirar las etiquetas.
Además de los 4 puntos analizados, los estados miembros tendrán la obligación de:
- Realizar actividades de sensibilización, dirigidas principalmente a Poderes Públicos y empresas, sobre los beneficios y riesgos de la tecnología RFID, así como ofrecer ejemplo de buenas prácticas en la implementación de las mismas.
- Investigación y desarrollo, se deberá fomentar y apoyar la introducción del principio “seguridad e intimidad a través del diseño”.
Seguimiento, Desde la publicación de la Recomendación en el DOUE, los estados tendrán 24 meses para informar a la comisión sobre las medidas adoptadas, y a los 3 años, desde la publicación de la Recomendación, la comisión presentará un informe sobre la aplicación de la misma.

La Agencia Española de Protección de Datos (AEPD), el organismo oficial dedicado a velar por la protección de datos y los derechos de los ciudadanos en dicha materia, sancionó hace algún tiempo a una cadena hotelera mallorquina por uso indebido del currículo de un aspirante a recepcionista.
El perjudicado lo había entregado a otro hotel de otra empresa y desde allí se remitió a la cadena expedientada, que contactó con el trabajador.
La AEPD abrió un expediente en 2004 tras tener conocimiento de que el grupo hotelero había usado datos del aspirante a un puesto de trabajo de forma supuestamente irregular. Los inspectores de la agencia hablaron con responsables del hotel de la cadena desde donde se había llamado por teléfono al perjudicado para concertar con él una entrevista de trabajo. Estos responsables admitieron en primera instancia que el currículo del recepcionista se lo habían pasado vía fax desde otro hotel de la competencia, donde lo había depositado personalmente el trabajador.

Enlace a la noticia

La Agencia Española de Protección de Datos organiza la 31ª Conferencia Internacional de Protección de Datos y Privacidad, que se celebrará en Madrid del 4 al 6 del próximo mes de noviembre.
Las Conferencias Internacionales son la más importante cita de la comunidad mundial de protección de datos. A ellas asisten no sólo delegaciones de todas las autoridades de protección existentes en el mundo sino, también, representantes de empresas, organizaciones internacionales y no gubernamentales, el mundo académico o la profesión jurídica. Para la Agencia Española de Protección de Datos constituye un gran reto la organización de un evento de estas características, al que se espera que asistan en torno al millar de profesionales y expertos y que se configura como un foro privilegiado para el intercambio de experiencias, conocimientos e inquietudes sobre la protección de datos.
Es importante reseñar que, en esta edición, la Conferencia se ocupará, con carácter primordial, de la adopción de una Propuesta de Estándares Internacionales sobre Privacidad y Protección de Datos. La Conferencia cuenta, además, con un completo programa en el que se analizarán las cuestiones actuales más relevantes sobre protección de datos personales.

El estudio llevado a cabo por el Instituto Ponemon señala que los trabajadores usaron la información que se robaron para encontrar un nuevo trabajo, empezar su propio negocio o vengarse.

"Muchas firmas cree que las fallas internas en la seguridad de las bases de datos son parte del precio de hacer negocios (...) algo con lo que han de vivir. Creemos que muchas compañías se han rendido, pese a que este estudio demuestra que hay cosas que se pueden prevenir", explicó Kevin Rowney.

Los expertos han predicho que durante la actual crisis económica el número de ataques internos va a ir en aumento.

Según Kevin Rowney, una de las maneras de evitarlo es incrementando la seguridad, pero también cambiando la mentalidad.

"La industria se ha concentrado en la protección de los contenedores en los que se almacenan los datos. (...) Ello hace que muchos equipos de seguridad se dediquen a proteger esos contenedores y no los propios datos. Eso es una falla mayor en la metodología de seguridad de muchas compañías", sentenció Rowney.

Enlace a la noticia

Aprovechando la segunda sesión anual abierta de la Agencia Española de Protección de Datos y debido a la proliferación de sistemas de captación y/o tratamiento de imágenes con fines de vigilancia, la AEPD ha presentado la publicación de una guía que recoge recomendaciones y criterios prácticos para el adecuado cumplimiento de la legislación vigente. En esta guía también hay un apartado referente a los derechos que asisten a los ciudadanos y otro de preguntas frecuentes sobre esta materia.

Desde Legitec, hemos notado una mayor sensibilización por parte de los responsables de cámaras de videovigilancia, que solicitan ser inscritos en el registro de la AEPD. El mayor número de ellos proceden de sectores de la hostelería, turismo y comercio. Estamos convencidos que la publicación de esta guía ayudará a concienciar a la sociedad sobre sus derechos y obligaciones.

Acceso a la guía:

El próximo 28 de enero se celebra el Tercer Día Europeo de Protección de Datos, que tiene como objetivo principal impulsar el conocimiento de los derechos en materia de protección de datos y privacidad entre los ciudadanos.

Coincidiendo con esta celebración, la AEPD organizará la “Segunda Sesión Anual Abierta de la Agencia Española de Protección de Datos, que se celebrará en el Auditorio de la Universidad Carlos III de Madrid, y que en esta ocasión estará centrada en la videovigilancia.

Legitec, un año más acudirá a la cita de la Protección de Datos, para estar al día de las principales novedades acaecidas en el último año en materia de protección de datos personales tanto en el ámbito nacional como internacional

https://www.agpd.es/portalweb/jornadas/2_sesion_abierta/index-ides-idphp.php

La impresión de documentos en el ámbito laboral es uno de los puntos fundamentales de una correcta política en materia de la confidencialidad. En virtud de la LOPD, la empresa está obligada a adoptar las medidas necesarias para mantener la privacidad de los documentos impresos.

El proveedor de telefonía alemana Deutsche Telekom ha solventado recientemente un gran problema en relación a la seguridad de los datos personales de los clientes su filial T-Mobile. Un agujero en el sistema permitía el acceso a millones de datos de propietarios de teléfonos de la compañía.

El gigante alemán de telefonía se puso manos a la obra cuando observó, que en un artículo publicado en prensa, se detallaba como un periodista desde su redacción consiguiera desde un ordenador cualquiera y sin gran esfuerzo acceder a 30 millones de datos de usuarios de móviles.

Según muestra  el artículo, bastaronpara conseguirlo unos pocos datos del usuario y una contraseña sencilla. Con la ayuda de un código para reventar claves de acceso, redactores de la revista ingresaron en el sistema de clientes de T-Mobile y pudieron leer e incluso modificar datos como domicilio y números de cuenta bancaria sin tener que saltar ninguna barrera de seguridad.

Deutsche Telekom ha anunciado la creación de un puesto de encargado de protección de datos en el seno de la junta directiva en reacción a varios casos de robos de millones de datos de clientes.

El afectado, un informático malagueño, denunció al operador por hacerle un contrato de una línea de ADSL sin su consentimiento. La Agencia de Protección de Datos considera que la compañía ha incurrido en una infracción grave, sobre la que cabe recurso.

Indignación, impotencia, frustración, desconcierto...«y cara de tonto». José Pérez Lozano resume así el particular calvario que ha vivido en los dos últimos años con Telefónica. La pesadilla de este informático malagueño comenzó en febrero de 2006.

La difusión en Internet de imágenes captadas por cámaras de seguridad instaladas en guarderías, gimnasios, hospitales u oficinas será objeto de una investigación por parte de la Agencia Española de Protección de Datos (AEPD), según anunció su director, Artemi Rallo.

Las imágenes procedentes de cámaras privadas que se difunden por la Red ponen en peligro el derecho a la imagen y privacidad de las personas.

Un fallo del 19 de septiembre de la sala de lo Contencioso-Administrativo del Tribunal Supremo ha establecido que la Ley Orgánica de Protección de Datos (LOPD) no obliga a la Iglesia a anotar en la partida de bautismo la decisión de abandonar la fe católica, anulando así una resolución de la Agencia Española de Protección de Datos.
Entre otros motivos se ha considerado que los libros de bautismo no pueden ser considerados ficheros ya que no encaja con la definición de “fichero organizado de datos”, lo que dificulta el tratamiento y búsqueda de los datos personales que allí aparecen.
¿Cómo hacen entonces para obtener una partida bautismal si no tienen ningún criterio de archivo que puede considerar que ordena los datos que allí constan? ¿Los buscan uno a uno entre los miles y miles de los que puede disponer una parroquia o un arzobispado? ¿Acaso la Iglesia no ha informatizado, ni lo hará, esta información? Sinceramente lo dudo.
En cualquier caso el criterio que ha mostrado el TS está lejos de coincidir con el que sigue la Agencia Española de Protección de Datos que según palabras de su director D. Artemi Rallo, durante su intervención en la Comisión Constitucional de la Cámara Baja, están valorando jurídicamente la posibilidad de impugnar la sentencia del supremo por “dudas sobre su constitucionalidad”
La situación ha generado una limitación en el derecho a decidir, de una parte de la sociedad, sobre la información personal, poniendo en riesgo el derecho fundamental a la protección de la intimidad. Este caso es especialmente grave teniendo en cuenta que en este caso hablamos de datos especialmente sensibles como los de ideología o religión, que cada persona libremente debería poder profesar o dejar de hacerlo.
Las repercusiones que finalmente pueda tener esta sentencia del TS puede que vayan más allá del plano de la de la religión y generen ciertas dudas sobre la concepción que hasta ahora teníamos de fichero o de tratamiento de datos personales. Esperemos a ver las decisiones que tome la Agencia durante las próximas semanas ya que podría marcar un cambio importante en la dimensión de las leyes que protegen nuestra intimidad cuando está relacionada con el tratamiento de la información personal.