Category Archives: LOPD

El secreto industrial, ese gran desconocido

registro patenteEl secreto empresarial, ya sea en su modalidad industrial o comercial, sigue siendo en algunos casos una figura enigmática, alrededor de la cual existe una verdadera incógnita en el ámbito mercantil. La mayoría de los empresarios, confían en una protección registral, más que en una protección invisible o sui generis, quizá por la creencia de que sus intangibles están mejor protegidos vía industrial e intelectual, que vía secreto industrial.

Si bien es cierto que las modalidades industriales o intelectuales protegidas mediante registro, parecen otorgar una mayor fiabilidad y seguridad jurídica, en ocasiones, los registros lo único que acreditan es la atribución a un solicitante o titular de unos derechos sobre una obra objeto de su creación, pero en caso de conflicto son los tribunales en última instancia los que tienen la decisión final.

Cloud computing para empresas: ventajas e inconvenientes

cloud computing

Cloud Computing Nube

El cloud computing es una tecnología relativamente novedosa, que ofrece una serie de interesantes posibilidades a las empresas. La computación en la nube se presenta como una válida alternativa para alcanzar ventajas de orden superior en un mercado altamente competitivo, siempre y cuando se ponderen adecuadamente las ventajas y las garantías de seguridad.

Así, según un estudio realizado, el 60% de las empresas españolas ya son usuarias de servicios de cloud computing.

Si bien es cierto que estos servicios ofrecidos a través de la red reportan importantes ventajas a las empresas y usuarios, no es menos cierto que también deben valorarse los inconvenientes que presentan para sopesar su adopción.

Protección de datos sanciona a Google con 900.000 euros por vulnerar gravemente los derechos de los ciudadanos

googleEl director de la Agencia Española de Protección de Datos, José Luis Rodríguez Álvarez, ha dictado una Resolución que pone fin al procedimiento iniciado a la empresa Google en relación con la compatibilidad de su política de privacidad y las condiciones de uso de sus servicios con la normativa española de protección de datos.

La Resolución concluye declarando la existencia de tres infracciones graves de la Ley Orgánica de Protección de Datos (LOPD), impone a Google una sanción de 300.000 euros por cada una de ellas y requiere a la compañía para que adopte sin dilación las medidas necesarias para cumplir con las exigencias legales.

En el marco de la investigación realizada, la Agencia Española de Protección de Datos (AEPD) ha constatado que Google recoge y trata ilegítimamente información personal, tanto de los usuarios autenticados (dados de alta en sus servicios) como de los no autenticados, e incluso de quienes son meros “usuarios pasivos” que no han solicitado sus servicios pero acceden a páginas que incluyen elementos gestionados por la compañía sin explicitarlo.

Como consecuencia de ello, la Agencia considera que Google vulnera gravemente el derecho a la protección de los datos personales reconocido a todos los ciudadanos por el artículo 18 de la Constitución Española y regulado en la LOPD.

Las actuaciones de inspección han permitido comprobar que Google recopila información personal a través de casi un centenar de servicios y productos que ofrece en España, sin proporcionar en muchos casos una información adecuada sobre qué datos se recogen, para qué fines se utilizan y sin obtener un consentimiento válido de sus titulares. Así, por ejemplo, no se informa con claridad a los usuarios de Gmail de que se realiza un filtrado del contenido del correo y de los ficheros anexos para insertar publicidad. Cuando se informa, se utiliza una terminología imprecisa, con expresiones genéricas y poco claras que impiden a los usuarios conocer el significado real de lo que se plantea. Es demostrativo que en ocho páginas Google emplea hasta en 30 ocasiones términos como “podremos”, “podrá”, “podrán” o “es posible”. Todo ello, sumado a otras expresiones sumamente ambiguas como “mejorar la experiencia del usuario”, da lugar a una política de privacidad indeterminada y poco clara.

La compañía ha anunciado que tomarán una decisión sobre estas sanciones una vez hayan leído el informe emitido por la AEPD.

FUENTE: https://www.agpd.es

Reglamento Europeo en materia de protección de datos: una nueva norma para una nueva realidad.

UELa Unión Europea está elaborando una nueva normativa en materia de protección de datos más severa, con la finalidad de proteger y preservar los derechos de los ciudadanos europeos en este ámbito, que deberá ser cumplida por operadores económicos e institucionales, sin olvidar a las redes sociales, que operan en el amplio universo de internet y la web 3.0, a pesar de las reticencias de éstos últimos.

Parece que esta premura en disponer de una legislación comunitaria más reforzada en materia de protección de datos, paradójicamente se produce en el reciente contexto del escándalo del espionaje de la administración de EE.UU. a ciudadanos e instituciones europeas.

Después del espionaje masivo practicado por la Agencia de Seguridad Nacional de Estados Unidos (NSA) a objetivos europeos, alemanes, españoles, franceses, etc. hay muchos mandatarios europeos interesados en que la Unión Europea se implique en el asunto en defensa de sus Estados miembros, en este sentido el Presidente Galo, François Hollande ha manifestado que esta problemática «Es a la vez una cuestión nacional y europea».

Se debe recordar que la normativa vigente en el ámbito comunitario de la protección de datos, fue aprobada en el año 1995, cuando todavía no se había producido la revolución de Internet, ni el fenómeno de las redes sociales, ni las compras «on line».

De este modo, las nuevas medidas en fase de elaboración, según lo expresado por su impulsora, la comisaria europea de Justicia, Viviane Reding,  pretenden “no solo proteger más a los ciudadanos, sino también recortar costes a las empresas».

Así, uno de los puntos más controvertidos en esta nueva legislación comunitaria, es el denominado «Derecho al olvido«. Ciertamente, en estos últimos años, principalmente debido al vertiginoso incremento del desarrollo tecnológico se ha producido una innegable realidad, que a pesar de producirse en el mundo virtual, ha tenido su fiel reflejo en la vida real. Los datos, en sentido amplio de muchos ciudadanos, han aparecido en la red de redes, bien voluntariamente, bien por publicaciones oficiales, u otras causas, lo que ha originado la invocación de tutela ante el Organismo supervisor en esta materia, con la finalidad de salvaguardar sus derechos especialmente en materia de protección de datos de carácter personal.

Destacar, que la invocación de tutela de los ciudadanos en estos supuestos, se produce con posterioridad a que hayan instado a los webmasters de sitios web y/o redes sociales, utilizando los cauces establecidos, y con base en unos argumentos legítimos, en la mayoría de los supuestos, siendo rechazadas sus pretensiones, y por tanto sus imágenes, vídeos, comentarios en foros o redes sociales, permanecen en la red de forma indefinida sin que se proceda, – en esencia- a la cancelación de sus datos personales. Este fenómeno referido ha crecido en los últimos años de manera exponencial, como muestra la memoria del año 2012 de la Agencia Española de Protección de Datos (en adelante, AEPD), que apunta un aumento de más del 13 % sobre el año anterior de las reclamaciones encaminadas a la eliminación de los datos que Internet conserva.

Pero el que es verdaderamente el denominado derecho al olvido, según Simón Castellano, es la capacidad de exigir el borrado de los datos personales que contiene Internet e incluso, oponerse al tratamiento que hacen los motores de búsqueda de los datos personales incluidos en fuentes accesibles al público.

El derecho al olvido, no busca presentar una historia personal o colectiva ajena a la realidad (Comisión Europea, 2012). Esto pareciera constituir un primer punto que debe ser aclarado, tal como lo hace la propia Comisión Europea al defender la reforma del sistema de protección de datos personales.

En suma, se pretende que cualquier usuario tenga derecho a que se borren sus datos, si resulta legítimo, cuando lo solicite. Para reforzar este derecho «on line», si una persona insta a una empresa como por ejemplo Facebook a que borre sus datos, la empresa se verá obligada a comunicar tal petición a otros sitios web donde esta información se haya replicado. Asimismo, los ciudadanos tendrán la posibilidad de defenderse de forma eficaz contra el “abuso” de las denominadas «cookies«, de modo que sus búsquedas no sean utilizadas para establecer un perfil de usuario. Por ello, se estudia permitir el uso de Internet de manera más anónima, o incluso bajo pseudónimo.

Una novedad importante de esta futura normativa es la fijación de la edad de los menores en menos de 13 años a efectos LOPD (frente a la actual regulación española que la fija en menos de 14), en relación a la oferta directa de servicios de la sociedad de la información. Permitiéndose el tratamiento de los datos de estos menores únicamente, si el padre o representante legal del menor ha prestado su consentimiento previo.

Otra importante novedad que parece contemplar la nueva normativa europea en materia de protección de datos establece que las grandes empresas tengan una nueva figura de supervisión de datos. El Data Protection Officer (DPO), tanto en organismos públicos, como en empresas con al menos 250 empleados, aunque se permite contar con un solo DPO en los casos de grupos empresariales. Este nuevo delegado deberá velar por el cumplimiento de la seguridad de la información en la empresa en todas las fases de su ciclo. En definitiva, se trata de un responsable altamente cualificado, no solo en materia de protección de datos, sino también en cuestiones relacionadas como la seguridad informática, convirtiéndose en verdaderos garantes de la seguridad de la información a nivel organizativo, técnico y legal.

En este marco de la seguridad organizativa, técnica y legal se incluyen aspectos como el análisis y diagnostico de entornos específicos desde el punto de vista de cumplimiento o de riesgos; la elaboración de planes que permitan la aplicación de normas de referencia como los Esquemas Nacionales de Seguridad o la Protección de Infraestructuras Críticas, en su caso; Así mismo, deberán encargarse de incorporar soluciones tecnológicas específicas; así como de gestionar la operativa de las infraestructuras tecnológicas de seguridad.

Otro importante logro que pretende la normativa comunitaria versa es que los ciudadanos europeos que emprendan acciones contra una empresa, en defensa de sus datos puedan hacerlo ante sus propias instancias nacionales, aunque la empresa en cuestión tenga su sede social en otro país de la UE, o fuera del contexto europeo.

Un aspecto destacado que recoge la futura normativa viene referido a la obligación de comunicar las brechas de seguridad, tanto a la autoridad de control como al interesado cuando éste se haya visto afectado, por fallos en las medidas de seguridad relativas a los sistemas de tratamiento de la información.

Otras de las novedades importantes es la elevación de las sanciones hasta un 5% del total de los ingresos de las compañías cuando éstas no cumplan lo establecido en la normativa de protección de datos.

El Parlamento también quiere imponer unas normas más estrictas sobre cómo se comparten los datos o cómo se transfieren a otros países fuera de la UE (transferencias internacionales de datos). Por ejemplo, si Estados Unidos quiere acceder a información de Google o Yahoo! sobre un ciudadano europeo, la firma tendría que pedir autorización previamente a la autoridad de control competente.

Tras el visto bueno de la comisión parlamentaria, será necesario para su aprobación formal la luz verde del pleno de la Eurocámara, así como de los gobiernos de los veintiocho estados miembros.

En resumen, la aprobación de esta nueva normativa no está exenta de polémica, pero la realidad está demandando una respuesta efectiva y contundente a situaciones y problemas, que con el vertiginoso desarrollo tecnológico existente en la actualidad, cada vez son más frecuentes, y que aunque, muchos de ellos se producen en el entorno virtual, sus consecuencias se proyectan en el mundo real.

Aumentan los negocios con videovigilancia y las sanciones en proteccion de datos

videovigilancia

Camara videovigilancia

El tratamiento de la imagen de las personas se ha convertido en un elemento permanente de nuestro día a día, incrementándose el uso de cámaras y videocámaras. De hecho, en los tres últimos años, se ha visto duplicado el número de negocios y Administraciones Públicas que han instalado sistemas de videovigilancia con la finalidad de garantizar la seguridad de los bienes y personas, o de igual forma, como herramienta para verificar el cumplimiento por parte del trabajador de sus obligaciones laborales.

Cifras facilitadas por la Agencia Española de Protección de datos señalan que a comienzos de 2009 eran 177 las entidades que contaban con estos sistemas de seguridad, y a fecha 1 de Noviembre de 2013 alcanzaban las 2.235 (2.170 de titularidad privada, y 65 de titularidad pública).

Por sectores, nos encontramos que uno de cada cuatro negocios con videovigilancia es un comercio, un diez por ciento bares y restaurantes, y por último, nos encontramos con las comunidades de propietarios, que han visto incrementada la instalación de cámaras para la vigilancia de sus garajes, portales y zonas comunes en la finca.

El uso de estos sistemas de seguridad debe seguir ciertas normas que rigen todo el proceso desde la captación de las imágenes hasta su posible cancelación. Con la finalidad de adecuar estos tratamientos a la Ley de Protección de datos, se dictó la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Normativa que en algunos casos se ve vulnerada, colisionando con ello la libertad de las personas, lo que hace aumentar igualmente el número de denuncias ante la AEPD, duplicándose el número de sanciones de cinco a diez en los últimos años.

Si desea tener una mayor información sobre la adecuación y nuestros servicios LOPD relativos a la videovigilancia puede consultar nuestro sitio web http://www.movalen.com/videovigilancia-y-la-proteccion-de-datos.

El sector de las telecomunicaciones y la protección de datos

logo_agpd

AEPD

En menos de un año, la Agencia Española de Protección de datos ha multado en tres ocasiones a la compañía Vodafone España, por dar supuestamente de alta a tres clientes vallisoletanos sin que ninguno de ellos tuviera conocimiento alguno de tener dos, tres y hasta cinco líneas de teléfono contratadas a su nombre, siendo posteriormente incluidos en ficheros de morosos. Por todo ello, se le impuso una multa de 100.000 euros, ya que en ninguno de los casos se consiguió demostrar que se hubiera firmado contrato alguno por parte de los afectados, no constando igualmente grabación alguna al respecto.

No menos llamativo es el caso de un sevillano cuyos datos fueron incluidos igualmente en los ficheros Asnef y Badexcug, a instancias de Telefónica, exigiéndole el abono de una deuda «inexistente». En este caso, la AEPD condenó a la entidad con el pago de una sanción de 50.000 euros, por haber incurrido en una infracción grave.

Por último, en el mes de Junio, conocíamos que la compañía France Telecom (Orange) era sancionada con una multa de 100.000 euros por incluir a un vecino de A Coruña en una lista de morosos, por una supuesta deuda de 320,80 euros, por el alta de dos líneas telefónicas. Como en el primero de los casos, la empresa no pudo aportar prueba alguna de dicha contratación.

El reto de las Administraciones Públicas ante el Esquema Nacional de Seguridad.

CCN

Organismo responsable de coordinar la acción de los diferentes organismos de la Administración para garantizar la seguridad de las Tecnologías de la Información.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, tiene como objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Por tanto, la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. 

¿Cuándo hacer una auditoría en protección de datos?

Entendemos por auditoría en protección de datos la revisión, verificación, y evaluación del grado de cumplimiento de la normativa vigente, según lo establecido en el Real Decreto 1720/2007, de 21 de diciembre, a través de una serie de procedimientos que el profesional auditor debe cumplir para la recopilación de todos los datos e información que precisa, con la finalidad de elaborar el correspondiente Informe y emitir su valoración. Se trata de una herramienta de control y supervisión que permite descubrir fallos en las estructuras o vulnerabilidades existentes en materia LOPD.

auditoria lopd

Los principales objetivos de llevar a cabo esta obligación son los de comprobar los procedimientos y controles de seguridad en los sistemas de información, así como la adecuación de las medidas de seguridad implantadas por el auditado, para establecer los posibles riesgos de infracción que puedan derivar en sanciones por parte de la Agencia Española de Protección de datos.

El aspecto documental resulta de gran importancia a la hora de realizar el procedimiento, ya que constituye la prueba más evidente y objetiva, centrándose principalmente en el Documento de Seguridad (documento interno que debe mantenerse siempre actualizado). También tienen gran relevancia otros elementos documentales, como los registros de incidencias.

La periodicidad mínima con la que se ha de realizar una Auditoría de los sistemas de información, instalaciones de tratamiento y almacenamiento de datos es de 2 años según establece el RDLOPD en su Art. 96.1.

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

No obstante, se establece la obligatoriedad de auditar antes de vencer el plazo bienal cuando se realicen modificaciones sustanciales en el sistema que puedan afectar a la seguridad de los datos.

Como hemos visto sólamente aquéllos ficheros que tienen un nivel medio o alto de seguridad son los que deben someterse a la auditoría, ¿pero qué datos contienen esos ficheros? Según el Art. 81 del RDLOPD

2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los relativos a la comisión de infracciones administrativas o penales.
b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.
c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
c) Aquéllos que contengan datos derivados de actos de violencia de género.

Si desea tener una mayor información acerca de nuestros servicios de auditoría LOPD puede consultar nuestro enlace http://www.movalen.com/auditoria-y-mantenimiento-lopd.

La Agencia Española de Protección de datos en cifras

aepd

AEPD

El pasado día 29 de Octubre, la Agencia Española de Protección de datos publicó en su web la Memoria 2012, en la cual se recogen los datos y cifras acerca de la actividad del mencionado Organismo el pasado año.

Señalar que los ámbitos que han concentrado un mayor número de denuncias han sido el sector de las telecomunicaciones, las entidades financieras y la videovigilancia. Significativo también es el hecho de que se han incrementado las denuncias por suplantación de identidad, especialmente en el suministro y comercialización de energía y agua (222%) y telecomunicaciones (92%). De hecho, la mayor parte de las sanciones afectan a este último sector.

Por otra parte, cada vez es mayor el número de ciudadanos que acuden a la AEPD solicitando la tutela de derechos, confirmando con ello el interés por ejercitar los derechos ARCO (acceso, rectificación, cancelación, oposición) acerca del tratamiento de nuestros datos, sobre todo en lo relacionado con historiales clínicos. No obstante, las más destacadas son la relativas al llamado «derecho al olvido«, cada vez más reclamado por los titulares de datos personales (de las 3 solicitudes recibidas en 2007 a las 181 en 2012).

En relación a los procedimientos sancionadores, señalar que de las 896 resoluciones dictadas, 863 fueron a parar al sector privado, de las cuales más del 34% concluyeron en apercibimiento, no imponiendo sanción alguna a las entidades.

El 2012 concluyó con más de tres millones de ficheros inscritos ante el Registro General, siendo menor el crecimiento en los ficheros de titularidad privada, consecuencia probable de la actual crisis económica y la baja tasa de crecimiento en cuanto a la creación de empresas y actividad. Si bien es cierto que existe un mayor grado de concienciación acerca del cumplimiento de la LOPD, ya que en el período 2008-2012 hubo un incremento del 168% de empresas que registraron sus ficheros. La finalidad de los mismos principalmente se concentraron en el «comercio electrónico», «videovigilancia», «gestión de clientes» y «recursos humanos».

Por comunidades, Cataluña es la que registró un mayor número de ficheros de titularidad privada notificados, seguida por Andalucía y Madrid.

En su Memoria, la AEPD plantea los retos que tiene por delante en cuanto a la privacidad, entre los que se encuentran la vigilancia en cuanto a la instalación de las cookies en los sitios web. Hay que recordar que resulta imprescindible informar al usuario y tener su consentimiento previo antes proceder a su descarga en el equipo de los usuarios.

Por último, la redacción del Reglamento Europeo de Protección de datos es otro de los elementos que se incluyen en el documento, cuyo proyecto pretende entre otros aspectos, armonizar la legislación y fortalecer los derechos de los ciudadanos en cuanto al tratamiento y privacidad de sus datos.

Si desea acceder al texto íntegro de la Memoria puede hacerlo a través de la dirección https://www.agpd.es.

Tudecideseninternet, nuevo portal para menores en la AEPD

tudecideseninternet

www.tudecideseninternet.es

Todos sabemos que el desarrollo de las nuevas tecnologías nos reporta múltiples ventajas y beneficios, aunque también es cierto que cada vez resulta más difícil proteger nuestra privacidad, siendo el colectivo de los menores el más «vulnerable», dado que viven conectados casi de manera permanente a las redes sociales, juegos on line, o mensajería instantánea.

Por ello, el pasado jueves día 24, la Agencia Española de Protección de datos, presentó el portal «Tudecideseninternet.es», dirigido a menores principalmente de entre 10 y 15 años, y cuya finalidad es la de concienciar a este núcleo de población del uso responsable de Internet en cuanto a la publicación de información en la Red, propia o bien de terceros. Esta iniciativa ha sido desarrollada de forma conjunta con el Instituto Nacional de Tecnologías Educativas y de Formación del Profesorado (INTEF), del Ministerio de Educación, Cultura y Deporte.

La plataforma, se divide en dos partes: en la primera, orientada a los jóvenes, y en forma de cómic, se plantean una serie de historias y preguntas a las que deberán dar respuesta sobre cómo reaccionarían ante situaciones de riesgo que afectarían a su «seguridad digital». La segunda, dirigida a padres y profesores, cuenta con información didáctica, un glosario de términos,recomendaciones y recursos de interés general.

El portal cuenta además con un canal de comunicación canaljoven@apgd.es, donde menores y educadores pueden enviar sus consultas o dudas a la AEPD.