Blog de LOPD y protección de datos

Artículos profesionales sobre protección de datos personales y LOPD

Blog de LOPD (Ley Orgánica de Protección de Datos Personales), cumplimiento y buenas prácticas para proteger nuestra información personal.

Artículos profesionales sobre protección de datos personales y LOPD

En Indalics actuamos como auditores de protección de datos personales colegiados en Almería, Granada, Málaga, Sevilla, Madrid, Murcia, Córdoba, Alicante y Jaén.


Calidad de los datos – LOPD en los despachos de abogados

Cuarta entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados en la que les comentaré lo relativo a la calidad de los datos relativos a información de carácter personal

Calidad de los datos lopd

Calidad de los datos

Mucho se ha escrito sobre la protección de los datos de carácter personal y su gestión, pero no sobre el concepto, un tanto difuso, de “calidad” de los datos. ¿Qué es la calidad de los datos?

La Ley Orgánica 15/1999 contiene entre sus principios generales, el principio de calidad de los datos, que exige que los mismos sean adecuados a la finalidad que motiva su recogida. La recogida y tratamiento de datos de carácter personal debe efectuarse también desde su subordinación a la proporcionalidad en su tratamiento, tal y como establece la normativa vigente.

Es decir, se trata de recabar los datos de carácter personal estrictamente necesarios para la prestación del servicio, al único objeto de asegurar adecuadamente dicha prestación. La proporcionalidad tanto en la recogida de los datos como en su tratamiento posterior serán fundamentales para gestionar correctamente la información.

Principios relativos a la calidad de los datos

Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos, siempre que la información se encuentre disociada.

Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de los derechos de rectificación y cancelación.

Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido. En el plazo de diez días desde la recepción de la notificación, el cesionario que mantuviera el tratamiento de los datos, deberá proceder a la rectificación y cancelación notificada.

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

También podrán conservarse los datos durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de la una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido este período los datos sólo podrán ser conservados previa disociación de los mismos.

Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

La recogida de datos por medios fraudulentos, desleales o ilícitos está totalmente prohibida.

El tratamiento de datos es costoso

Aunque suene a perogrullada, conviene tener en cuenta que el tratamiento de los datos es costoso. Cuanto mayor sea el volumen de datos tratados, mayores serán los costes asociados a su conservación, protección y destrucción.

Por ello, además de por los principios marcados por la legislación en materia de protección de datos personales, conviene que aplique a su despacho el principio de recabar únicamente la información justa, lo que reducirá el volumen de documentos que tendrá que gestionar.

También conviene que tenga en cuenta que es mucho más costosa la conservación, protección y destrucción de información en papel que en formato digital. A buen seguro buena parte de las instalaciones de su despacho estarán ocupadas por archivadores conteniendo montañas de papeles. Digitalice.

Ventajas de digitalizar la información del despacho

Existen multitud de ventajas a la hora de digitalizar la información del despacho, funcionando sin papeles. Les voy a citar brevemente algunos:

  • Abaratamiento del coste de almacenamiento y protección de la información.
  • Mayor control sobre el acceso a la información.
  • Fácil bloqueo y/o eliminación de los datos.
  • Agilidad en la búsqueda y obtención de la información frente al archivo tradicional.
  • Capacidad de realizar copias de seguridad frente a desastres o sabotajes.
  • Facilidad para disociar información a efectos estadísticos.

Olvídese de trituradoras de papel, destinar buena parte de la superficie de su despacho a archivadores, y a tediosas búsquedas de casos antiguos. Por no mencionar el riesgo de incendio o el deterioro de la documentación durante su almacenaje.

En conclusión

En resumidas cuentas querido lector, recabe únicamente la información necesaria para una correcta prestación de servicios y use dicha información únicamente en el marco de dicha prestación.

Digitalice en lo posible la información para abaratar los costes de almacenaje, protección, gestión y destrucción de dicha información.

Una correcta política de calidad de los datos facilitará que de cumplimiento al deber de secreto respecto a los datos de carácter personal que gestione y es un pilar fundamental a la hora de implementar medidas de responsabilidad activa, ambos conceptos ya examinados en esta serie de artículos.

No se preocupe si no termina de comprender del todo las ventajas que le señalo, ya que lo trataré en profundidad en próximos artículos.

Y eso es todo, les espero en la próxima entrega: “Comunicaciones de datos personales y accesos de terceros”

¿Qué te ha parecido la información?
Comparte esto:

Deber de secreto – LOPD en despachos de abogados

Tercera entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados en la que les comentaré lo relativo al deber de secreto y a la responsabilidad del despacho al respecto.

Deber de secreto en despachos de abogadosEl deber de secreto y responsabilidad del despacho

Según la normativa en materia de protección de datos personales, el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Es decir, están obligados al secreto y al deber de guardar esos datos, el despacho como persona jurídica, los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal.

El deber de secreto consiste en la no divulgación de datos de carácter personal, ya sea hacia el exterior del despacho, como internamente a personas que no tengan necesidad de conocer esa información durante la prestación de servicios.

El incumplimiento del deber de secreto constituye una infracción grave según la normativa en materia de protección de datos personales.

Comunicación de datos

Los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar. Esto se aplica directamente al caso de comunicación de datos a los procuradores.

El consentimiento para la comunicación de los datos de carácter personal tiene carácter revocable, por lo que deberán explicarse al interesado los medios para revocar dicho consentimiento.

Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

De no observar lo anterior, sepa que estaría incumpliendo su deber de secreto.

Acceso a los datos por cuenta de terceros

No se considerará comunicación de datos el acceso de un tercero a la información cuando dicho acceso sea necesario para la prestación de un servicio al bufete.

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito, o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar e indicaciones de cualquier otra índole sobre el tratamiento de los datos.

De no observar lo anterior, estaría incumpliendo su deber de secreto para con sus clientes. Incluso podría incurrir en falta disciplinaria por vulnerar el secreto profesional.

Responsabilidad activa y deber de secreto

Como ya les expliqué en mi anterior artículo, los bufetes deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías establecidas por la normativa en materia de protección de datos.

En lo tocante al deber de secreto, el despacho deberá asegurar:

  • Que todos los integrantes del despacho conocen el deber de guardar secreto respecto a los datos de carácter personal.
  • Que está procedimentado el consentimiento del cliente para comunicar sus datos personales, en los casos necesarios, a procuradores, administración de justicia y cuantos otros puedan verse involucrados en la prestación del servicio.
  • Que están procedimentadas las cláusulas legales exigibles a aquellas empresas o profesionales que prestan servicios al despacho en lo tocante a la protección de datos de carácter personal.
  • Que existen procedimientos de seguridad de la información encaminados a evitar en lo posible una comunicación de datos no autorizada, así como la destrucción o sustracción de datos de carácter personal.

No se preocupe si esto le puede parecer complejo, porque se lo iré desgranando en detalle a lo largo de esta serie de artículos.

Publicación de sentencias

Si merece la pena detallarles en este artículo la particularidad de la publicación de sentencias judiciales a través de medios del despacho, ya que es muy habitual querer demostrar los casos de éxito con el fin de atraer a potenciales nuevos clientes.

Tenga en cuenta que, según lo anterior, si publica una sentencia en la que figuren datos de carácter personal, y no dispone de consentimiento expreso de cada una de ellas, no podrá publicarlas, so pena de incurrir en una comunicación ilegal de datos de carácter personal, penada con fuertes multas. Esto es así porque la publicación de estos datos es susceptible de afectar a la honorabilidad y la privacidad de los afectados, independientemente de lo legítimo de la acción judicial.

Por ello, antes de publicar cualquier sentencia deberá someterla a un proceso de disociación, esto es, la eliminación o sustitución de todos los datos de carácter personal y referencias a una persona física que permitan su identificación. Lo normal es tachar nombres o sustituirlos por las iniciales.

Así mismo, en el caso de sentencias en el que figuran datos de personas jurídicas, podrá publicarlas sin temor alguno, a no ser que esté limitado por cláusulas de confidencialidad pactadas con su cliente. Aunque no sean datos de carácter personal, por deferencia para con su cliente, le recomiendo que solicite previamente su consentimiento.

Recomendaciones

La primera recomendación que le hago, querido lector, es que use el sentido común. Cuente siempre con contratos firmados con todos aquellos terceros con acceso a la información personal de sus clientes. Cuente también con cláusulas contractuales para con los integrantes del despacho que les obliguen al cumplimiento del deber de secreto. En definitiva, implemente medidas que permitan delimitar la responsabilidad en caso de una filtración, robo o destrucción de información de carácter personal.

Como segunda recomendación, preocúpese de momento de los “por qué” y los “para qué”. En próximos artículos les explicaré con más detalle cómo implementar este tipo de medidas, todas ellas muy ligadas al concepto de seguridad de la información.

Les espero en la próxima entrega: “Calidad de los datos en el despacho profesional

¿Qué te ha parecido la información?
Comparte esto:

Responsabilidad activa – LOPD en despachos de abogados 2

Segunda entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados en la que les introduciré al concepto de la responsabilidad activa y a algunos de los desafíos para implantar las medidas de protección de datos de carácter personal en el bufete.

LOPD en despachos de abogados: Responsabilidad activa

Qué es la responsabilidad activa

El nuevo “REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” (Reglamento general de protección de datos), introduce como novedad el principio de responsabilidad activa.

Las empresas y profesionales, como parte de esta responsabilidad activa, deberán adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar a posteriori.

Resultan muy importantes los términos “prevención” y “asegurar razonablemente”. Por ello el Reglamento introduce una serie de medidas cuya obligatoriedad y modo de aplicación debe analizarse caso por caso en base a:

  1. El estado de la técnica.
  2. La naturaleza, contexto, ámbito y fines del tratamiento.
  3. El coste de la aplicación de las medidas.
  4. Los riesgos inherentes al tratamiento y la probabilidad de causar perjuicios a los derechos y libertades de las personas físicas.
  5. La cantidad de datos personales recogidos.
  6. La duración en el tiempo del tratamiento de dichos datos y su conservación.
  7. Grado de accesibilidad de los datos.

Desafíos de la responsabilidad activa

Las medidas a las que se aludían anteriormente pueden suponer todo un desafío para los despachos de abogados. Algunas de ellas son:

Protección de datos desde el diseño:

Consiste en la implantación de medidas y procesos que permitan acreditar el cumplimiento de la normativa en materia de protección de datos desde el mismo momento de la concepción de un nuevo producto o servicio.

Esta medida resulta útil para el despacho no sólo por el cumplimiento normativo, sino por permitirnos identificar, corregir o mitigar posibles problemas desde una fase muy temprana, y por lo tanto, con el menor coste posible.

Protección de datos por defecto:

Consiste en garantizar por defecto que únicamente sean objeto de tratamiento los datos personales necesarios para el cumplimiento de las finalidades previstas y que éstos sean únicamente accesibles por el número de personas indispensable para llevar a cabo la acción deseada.

Esta medida resulta muy útil para el ahorro en costes de almacenamiento y gestión de datos, dado que cuanta más información recojamos en el despacho, mayor será su coste de gestión. Así mismo, estas medidas nos ayudarán también a plantear desde fases tempranas la seguridad de la información, restringiendo el acceso a los datos.

Medidas de seguridad:

Engloban una serie de medidas y procesos destinados a evitar la sustracción, pérdida, deterioro o destrucción de datos de carácter personal tratados en el despacho. Algunos de estos procesos son:

  • Identificación y Autenticación de Usuarios.
  • Control de acceso.
  • Administración de Usuarios.
  • Ficheros temporales.
  • Separación de los recursos de desarrollo y producción.
  • Gestión de Soportes y Documentos.
  • Desechado y reutilización de soportes.
  • Almacenamiento de ficheros no automatizados.
  • Custodia de soportes.
  • Criterios de archivo.
  • Seguridad en redes de comunicación.
  • Copias de respaldo.
  • Régimen de trabajo fuera de los locales de la ubicación del fichero.
  • Traslado de documentación.

Este tipo de medidas serán fundamentales para acreditar que se han asegurado razonablemente los datos de carácter personal en caso de que exista una incidencia.

Mantenimiento de un registro de tratamientos:

Consiste en la llevanza de un registro de los distintos tratamientos realizados sobre los datos de carácter personal gestionados por el despacho, incluyendo la persona física o jurídica responsable de dicho tratamiento, su objeto y el horizonte temporal en el que se ha llevado a cabo.

Este tipo de medidas son fundamentales para delimitar la responsabilidad en caso de incidencia, pudiendo acreditar fácilmente dónde ha podido originarse.

Realización de evaluaciones de impacto sobre la protección de datos:

Consiste en diversas y medidas y procesos conducentes a determinar el impacto de un incidente relativo a los datos de carácter personal gestionados en el despacho. El objeto no es otro que delimitar la gravedad de los perjuicios que se puedan ocasionar a los derechos y libertades de las personas físicas afectadas.

Este proceso es muy importante, dado que el grado de obligatoriedad en la implementación de todas estas medidas que les estoy relatando dependerá en buena medida de los riesgos inherentes al tratamiento de los datos.

Nombramiento de un delegado de protección de datos:

El delegado de protección de datos es la persona especialista en el ámbito de la protección de datos de carácter personal cuyas funciones son:

  • Informar y asesorar a los responsables y encargados del tratamiento de datos personales (y a sus empleados) de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
  • Supervisar el cumplimiento de las medidas y procesos conducentes al cumplimiento de dicha legislación y de la política del despacho: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
  • Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
  • Deber de cooperar con las Agencias de Protección de Datos en aquello que se le requiera.
  • Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales a realizar por el despacho.

El delegado de protección de datos será normalmente un profesional externo al despacho, con amplios conocimientos técnicos y prácticos en la gestión de datos, en el que el despacho descargará buena parte de la responsabilidad del día a día en materia de protección de datos de carácter personal.

Notificación de violaciones de la seguridad de los datos:

Se tratará de un conjunto de procesos destinados a la detección de violaciones de seguridad de la información y a su comunicación tanto a los responsables del despacho como a las personas físicas susceptibles de verse afectadas e incluso, según el caso, a las autoridades competentes.

Con este tipo de procesos limitaremos en buena medida la responsabilidad del despacho, acreditando que existen las medidas de alerta adecuadas.

Recomendación

La primera recomendación que le hago, querido lector, es la de que no se agobie. Pese a la complejidad inicial que puedan suponer este tipo de medidas se trata de ser metódicos y constantes desde el inicio. Implantar medidas de responsabilidad activa delimitará las responsabilidades del despacho en caso de incidencia.

Como segunda recomendación, cuente desde el inicio con ayuda de profesionales cualificados que le ayuden en las distintas fases que tendrá que afrontar. Aunque sólo sea para que le encaminen en la dirección correcta, se ahorrará muchos disgustos.

Les espero en la próxima entrega: “Deber de secreto y responsabilidad del despacho

¿Qué te ha parecido la información?
Comparte esto:

LOPD en despachos de abogados: conceptos básicos 1

Hoy arranco una serie de artículos sobre la protección de datos personales y el cumplimiento de la LOPD en despachos de abogados.

LOPD en despachos de abogados: conceptos básicos

LOPD en despachos de abogados: conceptos básicos

Como primera entrega de la serie de artículos sobre protección de datos personales y el cumplimiento de la LOPD en despachos de abogados, hoy les introduciré al entorno de la protección de datos de carácter personal: conceptos, objetivos y principios básicos.

Entorno jurídico

Las reglas y principios a cumplir en el despacho están determinadas por la siguiente legislación:

La autoridad competente en materia de protección de datos de carácter personal en España es la Agencia Española de Protección de Datos (AEPD)

Principios básicos

Como principio fundamental a la hora de implementar la LOPD en despachos de abogados a conviene grabarse, y tener muy claro, lo siguiente:

 “Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”

Todo lo concerniente a la protección de datos personales gira entorno a lo anteriormente descrito, y en caso de duda o controversia, deberemos remitirnos a ello.

Adicionalmente les recomiendo que, antes de que empiecen a plantearse cualquier tipo de medida para garantizar lo anteriormente descrito, tengan muy en cuenta estas recomendaciones:

  1. Pregúntese por qué, para qué, cómo, hasta cuándo y dónde. Planifique.
  2. Aproveche para incorporar al bufete procesos de gestión y control. Procedimente y supervise.
  3. Aproveche para asegurar la información sensible de su bufete además de los datos de carácter personal. Seguridad por encima de todo.
  4. Como premisa, garantice siempre los derechos de las personas sobre su información.

Objetivos

Muchas empresas y profesionales se toman la legislación como un fastidio burocrático e intentan implementar medidas que les eviten denuncias y multas. A mi juicio esa actitud es un tremendo error que, para colmo, casi nunca evita que sufran denuncias y multas.

Al implementar las medidas LOPD en despachos de abogados se debe aprovechar para la mejora en dos áreas fundamentales en este tipo de despacho profesional: la gestión y el control.

Por ello los objetivos son muy claros:

  1. Introducir procedimientos de funcionamiento en el despacho, de los que carecen la mayoría.
  2. Disponer de elementos de consulta y apoyo a la hora de funcionar en el despacho.
  3. Capacidad de auditar y mejorar el funcionamiento del despacho.
  4. Delimitar responsabilidades de los integrantes del despacho y del propio despacho ante cualquier incidencia.
  5. Introducir elementos de seguridad en la custodia y gestión de información sensible.
  6. Afrontar con mínimas garantías el aumento de las ciberamenazas.

En general, las empresas y despachos profesionales en España no tienen costumbre de procedimentar su funcionamiento por escrito, tendiendo a un funcionamiento anárquico y a veces imprevisible e incontrolable. Las medidas de protección de datos de carácter personal, ya que está obligado a implantarlas, deben servirle adicionalmente para optimizar el funcionamiento de su bufete.

Conceptos básicos

Si bien no pretendo entrar a fondo en los conceptos legales vinculados con la protección de datos de carácter personal, sí es conveniente que les relacione una serie de conceptos que van a estar muy presentes a lo largo de esta serie de artículos:

  • Datos de carácter personal: cualquier dato concerniente a personas físicas identificadas o identificables.
  • Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
  • Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
  • Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento.
  • Encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo, o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
  • Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordina y controlar las medidas de seguridad aplicables.
  • Afectado o interesado: Persona física titular de los datos que sean objeto de tratamiento.
  • Persona identificable: Toda persona cuya identidad pueda determinarse directa o indirectamente mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.
  • Tercero: La persona física o jurídica, pública o privada, u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento.
  • Consentimiento del interesado: Toda manifestación de voluntad libre, inequívoca, específica e informada mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
  • Sistema de información: Conjunto de ficheros, tratamientos, programas, soportes, y en su caso, equipos empleados para el tratamiento de datos de carácter personal.
  • Sistema de tratamiento: Modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados.
  • Copia de respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.
  • Ficheros temporales: Ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.
  • Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad.
  • Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español

Recomendación

Como ya le he indicado, antes de ponerse manos a la obra con la protección de datos personales en el bufete conviene que planifique, tenga claros sus objetivos y que consulte con profesionales legalmente habilitados que le asesoren.

Su bufete funcionará mucho mejor, se lo aseguro.

Les espero en la próxima entrega sobre responsabilidad activa y los desafíos en el despacho de abogados para implementar la protección de datos.

¿Qué te ha parecido la información?
Comparte esto:

Implantanción LOPD en despachos de abogados

Protección de datos: Pedro De La Torre, CEO de Indalics y perito informático colegiado impartió la ponencia “Implantación LOPD en despachos de abogados” durante jornada celebrada en el Ilustre Colegio de Abogados de Málaga

Implantanción LOPD en despachos de abogados

Implantanción LOPD en despachos de abogados

Pedro De La Torre impartió la ponencia “Implantación LOPD en despachos de abogados” durante jornada celebrada en el Ilustre Colegio de Abogados de MálagaIlustre Colegio de Abogados de Málaga como parte de la preocupación de dicha institución en que los despachos profesionales de sus colegiados cumplan con la normativa en materia de protección de datos personales y limiten en lo posible las responsabilidades ante terceros en caso de incidencia.

A la jornada acudieron alrededor de 30 profesionales así como un buen número de profesionales del derecho que pudieron seguir la jornada vía streaming.

La jornada se estructuró en 3 grandes áreas temáticas:

  • Fundamentos prácticos y legales de la protección de datos personales en España.
  • Mecanismos de cumplimiento de la LOPD a implantar en el despacho.
  • Buenas prácticas.

Desde una perspectiva práctica, se introdujo a los asistentes en los principios básicos a seguir al enfrentarse a una implantación de la LOPD en su despacho profesional, los derechos de las personas sobre las que tratan datos y, sobre todo, comprender que este proceso va más allá de un “quitamultas” o de limitar la responsabilidad en caso de desastre.

Los procesos que intervienen en asegurar los datos de carácter personal son análogos a los que se han de seguir para asegurar la información corporativa de su despacho. Así mismo, la simple auditoría de su forma de trabajar a fin de plasmarlo en un documento ofrece la posibilidad de auditar posteriormente el propio funcionamiento del despacho y posibilitar la mejora en las distintas áreas en las que sea necesario.

En el turno de preguntas, a la mayoría de asistentes les preocupó en gran medida la cesión de datos a terceros, en especial a los procuradores. Dicha cesión es habitual, dado el ejercicio de la procura y la intervención de estos profesionales en los procesos judiciales. Por ello, cada profesional de la abogacía deberá hacer suscribir un contrato de confidencialidad y de gestión de los datos de carácter personal a cada procurador con el que colaboren, o bien que el propio procurador incluya estas cláusulas en el contrato de servicios que suscriba con el abogado y/o con su cliente.

Desde Indalics esperamos haber contribuido a la mejora de los datos de carácter personal en los despachos de abogados, toda vez que manejan información muy sensible de muchisimos ciudadanos.

¿Qué te ha parecido la información?
Comparte esto:

El fraude de la LOPD a coste 0

Protección de datos: Hoy les hablaré del extendido fraude de la LOPD a coste 0, signo de la desprotección que sufren los usuarios de este tipo de servicios.

El fraude de la LOPD a coste 0

El fraude de la LOPD a coste 0

Desde hace tiempo, los profesionales colegiados que prestamos servicios de seguridad de la información venimos detectando que hay empresas y autónomos que, sin ser profesionales en la materia, ofrecen la implantación, asesoramiento o auditorías para el cumplimiento de la LOPD a coste 0,  con cargo a los fondos de la Fundación Tripartita. En este tipo de conducta, a parte de un servicio de muy baja calidad, le están haciendo ser partícipe de un fraude, ya que los créditos de formación se utilizan para formar a los trabajadores y no para que al empresario le salga gratis un servicio.

Normalmente este tipo de empresas les dicen que todos los años tienen que hacer un curso, porque los servicios prestados caducan. Nada más lejos: lo que quieren es cobrar todos los años el dinero del que dispone su compañía para formar a sus trabajadores.

La Agencia Tributaria está abriendo expedientes sancionadores ya que los servicios de asesoría y consultoría en materia de Protección de Datos incluye un IVA que en este tipo de cursos no se está aplicando.

Comunicado de la Fundación Tripartita

A continuación le reproduzco el comunicado de la Fundación Tripartita a este respecto:

“Utilización de bonificaciones para LOPD – Nota informativa

Comunicado a las empresas que realizan formación para sus trabajadores, en previsión de errores en las bonificaciones relacionadas con la implantación de sistema de protección de datos de carácter personal

La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoria y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude.

El Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que este crédito está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores.

La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y puesto en marcha los mecanismos de control oportunos, para constatar las bonificaciones practicadas y evitar en el futuro que las empresas beneficiarias que se bonifican por formación se vean implicadas en una cadena de errores, teniendo que devolver las cuantías bonificadas.

Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoria y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.

La Fundación Tripartita hace un llamamiento a todos los usuarios para que en caso de recibir alguna oferta de este tipo de servicios u otros de similares características, contacten con el servicio al cliente de la Fundación en: servicioalcliente@fundaciontripartita.org”

Consecuencias del fraude en la LOPD

Las consecuencias del fraude de la LOPD a coste 0 son muy variadas, pero le comentaré sucintamente las más graves:

  • En el ámbito tributario: Está participando en un fraude tributario, en concreto como colaborador necesario para no abonar el correspondiente IVA, por lo que tendrá que afrontar las consecuencias civiles o penales que se deriven, tanto la persona jurídica, como el consejo de dirección de la compañía.
  • En el ámbito laboral: Como ya se ha comentado estaría destinando los fondos para formación de sus empleados, gestionados por la Fundación Tripartita, a otros menesteres no contemplados en la legislación. Tendría que devolver los fondos, con intereses de demora, y afrontar las responsabilidades civiles y penales que se deriven.
  • En el ámbito de la protección de datos: Los servicios prestados con este método son de escasísima calidad, no cumpliendo realmente lo establecido en la legislación en materia de protección de datos, por lo que puede enfrentarse a cuantiosas multas por su incumplimiento. Tenga en cuenta que en este tipo de servicios no se le ofrece garantía de cumplimiento alguna, ya que se disfrazan como formación: las multas las tendrá que pagar usted.

El fraude de la LOPD a coste 0 puede salirle terriblemente caro querido lector. Extreme las precauciones y exija siempre garantías a su prestador de servicios, como que le acredite tener suscrito un seguro de responsabilidad civil profesional o pertenecer a un colegio profesional.

¿Qué te ha parecido la información?
Comparte esto:

Detenidos por vender datos personales

Protección de datos: Guardias Civiles y funcionarios detenidos por vender datos personales a través de una red perfectamente estructurada.

Detenidos por vender datos personales

Detenidos por vender datos personales

Los miembros de una “red estructurada” a nivel estatal, han sido detenidos por vender datos personales. La red estaba formada por Guardias civiles, funcionarios de diversos organismos públicos, detectives e intermediarios.  Se dedicaban a la obtención de base de datos oficiales de información carácter personal para después comercializarla, según sostiene la Fiscalía en un reciente escrito de acusación de la llamada policialmente Operación Pitiusa.

La Fiscalía Anticorrupción reclama prisión para 11 personas. Hasta 595 años de cárcel solicita para una mujer pensionista que actuó de intermediaria por 119 delitos de revelación de secretos (cinco años de prisión por cada uno de ellos). La petición de condena más leve es de cinco años de reclusión.

Los hechos

La Fiscalía apunta como el principal instigador de la trama a Juan Antonio R., que falleció en enero del 2014, habiéndose consolidado como el receptor de una elevadísima petición de datos de carácter reservado, como números de DNI, domicilios, información tributaria, titularidades de vehículos o propiedades y cuentas bancarias. Esta persona era quien canalizaba las solicitudes, dependiendo del tipo de consulta, hacia sus contactos, en su gran mayoría funcionarios. Estos empleados públicos accedían a bases de datos oficiales para obtener de manera ilícita a la información y pasarla, a cambio de una cantidad de dinero, a los intermediarios y a detectives. La red operó, cuando menos, desde junio del 2006.

La causa se ha dividido en piezas separadas y la Fiscalía ha presentado, al menos, tres escritos de acusación contra distintas personas investigadas. Actualmente están siendo encausados dos guardias civiles y a funcionarios de la Agencia Tributaria, del Servicio de Vigilancia Aduanera y del Departamento de Hacienda de la Diputación Foral de Vizcaya, así como a intermediarios y detectives privados.

¿Qué te ha parecido la información?
Comparte esto:

Alerta ante fraudes en consultoría de protección de datos

La AEPD alerta de fraudes en consultoría en protección de datos personales

La Agencia Española de Protección de Datos (AEPD) ha alertado en las últimas semanas  de varias actuaciones y fraudes en consultoría en protección de datos personales con graves consecuencias para los receptores de los servicios.

Alerta ante fraudes en consultoría de protección de datos

Comunicado de la AEPD

La AEPD hace hincapié en la necesidad de dejar las labores de protección de datos en manos de expertos profesionales que realizan su labor atendiendo a las normas legislativas. En caso contrario estaría incurriendo, sin saberlo, en faltas que pueden ocasionar sanciones y hacerle objeto de fraude.

El fraude más reciente que ha puesto de manifiesto la Agencia consiste en el envío por parte de empresas y particulares de varias comunicaciones que haciéndose pasar por la AEPD. En dicho envío comunican a los usuarios un requerimiento de la AEPD sobre el cumplimiento de la normativa de protección de datos, incluso advirtiendo sobre el régimen sancionador aplicable. En la propia comunicación las empresas fraudulentas ofrecen sus servicios de asesoría y consultoría en protección de datos con el fin de que el negocio se adapte a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD).

La Agencia Española de Protección de Datos, en un comunicado, ha querido aclarar que no realiza requerimientos en los términos que se han indicado y advierte a aquellos que los reciban para que analicen detenidamente la identificación del remitente a fin de evitar confusiones.

Evite ser objeto de fraude al realizar la protección de datos

La Agencia pide la ayuda de todos para evitar estos fraudes y recomienda que ante el recibo de estas comunicaciones, los afectados contacten con su personal. La AEPD señala que analizará las denuncias que reciba sobre estas conductas, reservándose el ejercicio de las acciones legales pertinentes para impedir que aquellos que tratan datos personales sean víctimas de este tipo de prácticas a través de la utilización engañosa de su imagen.

A su vez, la Agencia alerta sobre aquellas empresas que ofrecen sus servicios para realizar auditorías de seguridad por vía telefónica, ya que estas auditorías telefónicas de medidas de seguridad no permitirían en ningún caso obtener los resultados establecidos en la normativa de protección de datos. El concepto de auditoría de los ficheros de seguridad de nivel medio y/o alto implica necesariamente la realización de comprobaciones en los sistemas de información auditados, algo que no es posible llevar a cabo por vía telefónica.

El fraude de los cursos de formación en materia de protección de datos

Así mismo se viene observando empresas que ofertar auditorías de protección de datos a empresas por precios irrisorios, con el compromiso de realizar luego un curso de formación con cargo a la Fundación Tripartita impartido por la misma empresa. Esta práctica constituye un fraude mediante el cual la empresa auditora se embolsa el dinero de la formación sin impartirla.

Confíe sólo en profesionales colegiados

Para evitar fraudes, exija siempre que su auditor de protección de datos personales le certifique que se encuentra adscrito a un colegio profesional de informática y que cuenta con un seguro de responsabilidad civil profesional con el que responda de cualquier daño que le pueda generar un trabajo profesional defectuoso.

¡Las LOPD low cost le pueden salir carísimas, querido lector!

¿Qué te ha parecido la información?
Comparte esto:

Guerra empresarial por nuestros datos personales

Guerra empresarial por nuestros datos personales

Nueva guerra entre las telecos y las empresas de contenidos digitales a cuenta de los datos personales de los clientes y su uso comercial.

Guerra empresarial por nuestros datos personales

El origen del conflicto entre telecos y empresas de contenidos digitales

Es menester poner en antecedentes al lector de este conflicto, largo y durante mucho tiempo soterrado.

En un principio las operadoras quisieron que las empresas de contenidos les pagaran por el uso de sus redes de datos. Si nos atenemos al argumento de que utilizan la red sin trasladar beneficio directo a las operadoras sería lícito pensar que existe un desnivel en el equilibrio empresarial. Sin embargo son las empresas de contenidos digitales las que aportan valor: si se contratan líneas de datos es gracias a que existen los servicios ajenos a las operadoras, como whatsapp, Facebook o Twitter. Finalmente las operadoras no consiguieron salirse con las suya.

El siguiente episodio de esta guerra que nada tiene que ver con la protección de datos de los clientes fue el alumbramiento de la nueva normativa europea de neutralidad de la red, en la que se persiguió de nuevo desde las operadoras el pago por uso de las redes de datos a las empresas de contenidos.

Telefónica pretende lanzar una app que administre lo que compartimos en Internet

Aparentemente ésta sería una muy buena noticia para los usuarios: contar con una app que nos permita la protección de datos personales y el cobro a las compañías de contenidos por el uso de dicha información. Con ello WhatsApp, Google, Facebook y compañía tendrían que pagar a los usuarios por los datos que utilicen a través de las redes de Telefónica. ¿Les suena? Nuevamente las operadoras pretenden que las compañías de contenidos tengan que pagar por el uso de la red de datos, esta vez de forma indirecta.

La información asociada es muy valiosa para los servicios de Internet, por lo que la intención de Telefónica es que sea el usuario sea quien la controle. Pero hay un gran pero que a nadie se le escapa: la propia Telefónica registrará todos esos datos, algo que no redunda precisamente en la privacidad y en la protección de datos personales, ya que Telefónica sí que dispondrá de toda esa información y, además, de forma gratuita.

Quien controla los datos personales controla el comercio online

Querido lector, por mucho que quieran convencernos, nuestros datos personales se filtran continuamente a Internet y se comercia con ellos. Las normas actuales de protección de datos personales son absolutamente ineficaces dado que no hay un control real de su cumplimiento.

La prueba palpable es esta guerra empresarial por nuestros datos: están ahí, y su uso en marketing digital es fundamental para comercializar productos y servicios a través de Internet.

El problema de fondo: la falta de regulación

WhatsApp o Telegram ofrecen servicios similares a los que posee cualquier teleoperadora (mensajes, llamadas…), por lo que, según múltiples voces, deberían atenerse a las mismas reglas. Sobre todo teniendo en cuenta que la mayor parte de las aplicaciones utiliza el número de teléfono para registrarse, algo que las equipararía al SMS. Sin embargo, estos servicios se consideran servicios de sociedad de la información y no estrictamente de telecomunicaciones, por lo que tienen una legislación aparte, mucho más laxa.

Es una simple cuestión de tiempo que el marco regulador abarque también a las compañías de contenidos, pero es precisamente el tiempo el que juega a su favor.

Las compañías de contenidos fagocitarán a las operadoras

Llegados a un marco regulador común, las compañías de contenidos comenzarán una carrera por adquirir operadoras de telefonía. Pueden, y lo harán, ya que les resulta más barato que empezar desde 0. En este sentido Google ya experimenta a baja escala con crear una red propia de telefonía, con que imaginen.

La clave de por qué sostengo esto está en que las compañías de contenidos son las que realmente aportan valor, las que están consiguiendo enormes plusvalías y las que engordan sus cotizaciones bursátiles. La capitalización bursátil de Telefónica es actualmente de 48.360 millones de euros, siendo la mayor operadora AT&T con una capitalización de 214.310 millones de euros. Por contra la capitalización bursátil de Google asciende a 546.000 millones de dólares, Apple 535.000 millones, y Facebook 308.000 millones. Además la tendencia es de crecimiento, frente a las constantes caídas de las operadoras.

¡Las espadas están en alto!

¿Qué te ha parecido la información?
Comparte esto:

Archivo de denuncia por instalación de videocámaras

Archivo de denuncia por instalación de videocámaras

Hoy en esta sección de protección de datos personales examinamos la resolución R/02634/2009 de la Agencia Española de Protección de Datos, se archiva denuncia contra MONTALUR RESTAURACIÓN, S.L. por instalación de videocámaras en su establecimiento.

Protección de datos archivo de denuncia por instalación de videocámaras

Los hechos

Con fecha de 17 de diciembre de 2008, tiene entrada en la Agencia un escrito remitido por la Policía Municipal de Madrid adjuntando, Acta de Inspección e informe, relativo a la inspección realizada en el establecimiento denominado “Los Cien Montaditos”, sito en la (C/……1), de Madrid. La Policía manifiesta que en el local hay instaladas seis cámaras de video distribuidas por el local, siendo estas fijas y desconociendo si alguna enfoca a la vía pública. Disponen de cartel informativo donde se informa de zona videovigilada y el responsable ante el que ejercitar sus derechos Montalur Restauración S.L. Asimismo dispone de los impresos en los que se detalla la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999. El responsable del establecimiento manifiesta que las imágenes son grabadas en un disco duro y son borradas cada 15 días.

El Responsable del establecimiento declara, en cuanto a la información solicitada de la empresa de seguridad que “No aplica dado que nuestro sistema de vigilancia se ha instalado sin fines de seguridad y por parte de una empresa especializada en instalaciones informáticas”.

Se aportan los contratos de todos los trabajadores del establecimiento en los que se recoge las cláusulas laborales firmadas por cada uno de los trabajadores, conteniendo el consentimiento de cada uno de ellos en cuanto que han sido informados y expresamente consienten la incorporación de sus datos a los ficheros de datos de carácter personal de los que es responsable la empresa, consintiendo, a su vez, de forma inequívoca, la existencia de cámaras dirigidas a las zonas de trabajo, pudiendo el trabajador ejercer los derechos de acceso, rectificación, cancelación y oposición , dirigiéndose por escrito al responsable del fichero. Asimismo, los propios trabajadores reconocen la existencia de dicha cláusula en sus contratos.

Se aporta Certificado de fecha 23 de noviembre de 2009, firmado por el Supervisor del Local, D. A.A.A., en el que manifiesta que ninguna de las cámaras enfoca al público, sino sólo a los trabajadores y que todos los trabajadores al ser contratados fueron informados de la existencia de las cámaras y de la finalidad de las mismas, consintiendo expresamente su uso.

La resolución

La Agencia Española de Protección de Datos Personales resuelve ARCHIVAR a la entidad MONTALUR RESTAURACIÓN, S.L., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, a cuenta de denuncia por instalación de videocámaras en su establecimiento.

Por qué se archiva la denuncia

Como pueden ver en el expediente público, la denuncia se archiva al no observarse vulneración de la legislación en materia de protección de datos, por dos motivos fundamentales:

  1. No se obtienen imágenes ni de clientes, ni de transeuntes, únicamente del personal contratado por la empresa.
  2. Los trabajadores, en sus cláusulas contractuales, tienen recogido el hecho de que se les pueda videovigilar para cerciorarse del cumplimiento de las condiciones de dicho contrato.

Publicación realizada bajo licencia Creative Commons

¿Qué te ha parecido la información?
Comparte esto: