Este es el primero de una serie de artículos sobre el tratamiento de datos personales en las comunidades de propietarios.

Las obligaciones que impone la LOPD y sus normas de desarrollo plantean la necesidad de que las comunidades de propietarios se adapten y cumplan escrupulosamente con la normativa de protección de datos. La organización y gestión de la comunidad de propietarios supone la existencia de al menos un fichero o tratamiento de datos personales: la de los propios integrantes de la comunidad. Existen hechos habituales de la vida de una comunidad de propietarios que conllevan la existencia y obligatoriedad de adaptar estas comunidades a lo dispuesto por la LOPD, así podríamos hablar de contratación con terceros de servicios prestados a la comunidad como el contrato con administradores externos a los propietarios de las viviendas de la comunidad, seguridad, reparaciones, limpieza…; cobro de cuotas de comunidad y como consecuencia gestión de impagados.

Según el art. 3 de la LOPD es Responsable del fichero o tratamiento la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Poniendo en relación esta definición con las de la Ley de Propiedad Horizontal el responsable del Fichero sería la propia Comunidad de Propietarios como persona jurídica y compuesta por tanto por la Junta de Propietarios. Esta distinción es importante puesto que nos indica que cualquier tratamiento de datos debe ser consensuado por la totalidad de los propietarios conforme a las reglas de la formación de la voluntad de los órganos de la Comunidad. En consecuencia el responsable del fichero, será el que sufra de las consecuencias de un incumplimiento de lo dispuesto en la legislación de protección de datos. Esta afirmación se corrobora por la AEPD en su informe 2000 de fecha 23-04-2.010.

Por tanto y en aplicación del art. 25 y 26 de la LOPD toda comunidad de propietarios que tenga almacenados datos de los comuneros, es decir, todas ellas, tienen obligación de crear un fichero y comunicar este a la AEPD. Esta notificación la podrá hacer el órgano de representación de la misma o bien un administrador externo a la comunidad que ejerza las funciones de administración en nombre de ésta, pero en este supuesto el responsable del fichero seguirá siendo la propia comunidad de propietarios.

La denominación del fichero dependerá de los distintos usos que se le vaya a dar al mismo. Por lo general se le denominará “Comunidad de propietarios”, para identificarlo claramente de cualquier otro fichero.

En cuanto a la finalidad del mismo sería las obligaciones propias de la llevanza de la propia comunidad así por ejemplo gestión de los datos de la comunidad de propietarios, o envío de información y documentación, asistencia a juntas y en general todo lo necesario para asegurar el correcto desenvolvimiento de la comunidad, y tendría datos como D.N.I./N.I.F., nombre y apellidos, teléfono, datos económicos, financieros, seguros, transacciones.

Puede darse la circunstancia que la comunidad tenga contratados a diversos agentes para la llevanza de tareas en la comunidad. Sería el caso de porteros, limpieza, o cualquier otro que se nos pueda ocurrir, en estos casos en mi opinión deberíamos crear un fichero diferente puesto que la finalidad del mismo sería diferente a las propias de la llevanza de la comunidad. Estaríamos en un supuesto en el que el fichero se podría denominar “Personal contratado” o “personal”, cuya finalidad sería la gestión del personal que trabaja en la comunidad o “Gestión de nominas”.

Áudea Seguridad de la Información

Aurelio J. Martínez

Departamento Derecho NNTT

www.audea.com

Continua activa y con más 32.000 fans. Su funcionamiento cuando opta por la oferta de iPad consiste en dirigirlo una web falsa que no tiene disponible esa oferta para su zona y a cambio ofrece otros productos que en caso de querer uno, vuelven a redireccionar al usuario a otra web que si funciona.

Algo parecido ocurre cuando el usuario se decide por la oferta que le propone conseguir un ordenador Dell gratis o realizar la encuesta que también propone la página y después de la cual, se supone, el usuario recibirá un premio gratis.

BitDefender ha comunicado que “Se trata de una técnica que podríamos calificar de spam ya que se atrae a los usuarios con un cebo y al final se les acaba llevando hasta una tienda de productos de bisutería y réplicas de relojes sospechosamente parecida a muchas de las que se promocionan mediante correos basura o a una de búsqueda de parejas online”.

La encuesta ha estado siendo utilizada por los ciberdelincuentes que han aprovechado la obtención de datos privados de los usuarios como su nombre, su dirección postal, su número de teléfono, etc, y así poder usarlos para campañas de spam o de malware más personalizadas o, incluso, dirigidas a sus teléfonos móviles.

Viendo el tan alto número de fan, hay que tener presente que todavía hay mucho desconocimiento del daño que pueden causar el mal uso de las redes sociales.

BitDefender ofrece gratuitamente la herramienta Safego (http://apps.facebook.com/bd-safego/?ref=ts) que protege contra estas páginas fraudulentas así como contra mensajes de spam, links maliciosas y falsas aplicaciones.

  Áudea Seguridad de la Información

 Departamento de Marketing y Comunicación

 www.audea.com

 Fuente: ABC

Curioso asunto, este de la voz.

Por un lado, si todos escuchamos una grabación de audio de nuestros padres o hermanos, seguramente les identifiquemos al instante, igual que si les vemos en una grabación de vídeo o leemos su nombre y apellidos.

Sin embargo, la voz tiene una vinculación mucho menor con la persona que su propia imagen o su nombre. Cuántas veces hemos recibido llamadas telefónicas y hemos tardado un rato en reconocer a un amigo al que vemos todas las semanas… o a un compañero de trabajo al que vemos a diario.

En todo caso, parece claro que si escucho la voz de una persona con la que no he tenido ningún tipo de relación, me será del todo imposible identificarla… pero si forma parte de mi círculo personal, familiar o laboral, potencialmente podría identificarle.

¿Pero acaso un dato puede ser “personal” en un entorno… y “no personal” en otro?

Algo parecido nos contaba hace años Samuel Parra sobre la silueta.

Teniendo en cuenta que la LOPD no discrimina entornos, todo apunta a que la “identificabilidad” de una persona en su entorno personal, familiar o laboral, contagiaría a toda grabación de voz con el cumplimiento íntegro de la LOPD.

¿Y qué dice la AEPD al respecto?

Pues como suele pasar… tiene de todo.

Por un lado, el Informe 497/2007 del Gabinete Jurídico de la AEPD prácticamente ratifica que la voz hace identificable a una persona física, y que por lo tanto, le aplica la LOPD. Para ello, la AEPD recurre a la Sentencia de la Audiencia Nacional de 8 de marzo de 2002, que dice que “para que exista un dato de carácter personal (en contraposición con dato disociado) no es imprescindible una plena coincidencia entre el dato y una persona concreta, sino que es suficiente con que tal identificación pueda efectuarse sin esfuerzos desproporcionados” y “para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona”. Además, la AEPD recurre a las definiciones en materia de protección de datos, para dejar claro que una información acústica también puede ser un dato de carácter personal… ergo, una grabación de audio, está plenamente afectada por la LOPD.

Sin embargo, por otro lado, el Informe 190/2009 del Gabinete Jurídico de la AEPD parece contradecir el anterior informe. En concreto, dice la Agencia que: “…tales grabaciones tienen trascendencia y entran dentro del ámbito de aplicación de la Ley desde el momento en que en las mismas puedan recogerse datos personales de los clientes que contactan con el servicio (…) Aun cuando nos hallemos ante un supuesto en que existan datos de carácter personal…”.

Dejando abierta la posibilidad de que en una grabación no existan datos de carácter personal, se está negando que la voz, por sí sola, sea un dato de carácter personal.

En fin, por si acaso, tratemos la voz como si lo fuera… no vaya a ser que el inspector de turno se salga de la cama con el pie que no es.

Como simple chascarrillo… si la voz fuese un dato de carácter personal… ¿qué pasaría con los imitadores de voces?

Audea Seguridad de la Información

José Carlos Moratilla

Departamento Jurídico

www.audea.com

¿Y esto que significa?

La LOPD concede a los ciudadanos los derechos de acceso, rectificación, cancelación y oposición. Estos derechos deben ser atendidos en unos plazos concretos (1 mes para acceso y 10 días para el resto), y contestados en todo caso, incluso cuando no nos constan datos del solicitante.

Si no hemos atendido bien uno de estos derechos, o no hemos respondido en plazo, el ciudadano puede quejarse a la AEPD y pedir su “tutela de derechos”, para que nos obligue a atender correctamente la solicitud (posiblemente el ciudadano no sea consciente de lo que está pidiendo, pero es lo que la AEPD le va a dar).

En otras palabras, el procedimiento de Tutela de Derechos, no es una manifestación de la potestad sancionadora de la Agencia, y por lo tanto, recibir una solicitud de información relativa a una Tutela de Derechos no implica que nos vayan a poner una multa millonaria de las que salen publicadas en los periódicos.

Podremos reconocer una Tutela de Derechos, porque se identifican con el código “TD”.

No obstante, esto no es excusa para desatender todas las solicitudes ni para desobedecer a la AEPD, ya que si la AEPD aprecia un “impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición” puede abrirnos un procedimiento sancionador por una infracción grave con multas entre 40.000 y 300.000 euros.

José Carlos Moratilla

jmoratilla@audea.es

Responsable del Departamento Legal

AUDEA SEGURIDAD DE LA INFORMACIÓN, S.L.

www.audea.com

El análisis destaca tres puntos débiles de este dispositivo:

• Identificación .
• Trazabilidad .
• Cifrado .”

Como bien sabemos los datos relativos a la salud, son datos que exigen unas medidas de seguridad correspondientes al nivel alto, por lo que no sólo el ipad, sino cualquier dispositivo que almacene datos de este tipo, deberá implantar las medidas de seguridad oportunas.

El artículo 8 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, establece y regula los datos relativos a la salud señalando que sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

Así mismo, el Artículo 81 del Reglamento que desarrolla la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre, tal y como indicábamos antes, dispone que Los ficheros que contengan datos relativos a la ideología, religión, creencias, origen racial, salud o vida sexual deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto. Si los ficheros incluyen valoraciones que permitan elaborar evaluaciones sobre la personalidad de las personas físicas, entonces el nivel de seguridad será medio. Si entre esas valoraciones se incluye información sobre ideología, religión, creencias, origen racial, salud o vida sexual, el nivel de protección será el alto. Si no concurre ninguno de los anteriores supuestos, el nivel de protección será el básico.

Por tanto a la hora de tratar datos relativos a la salud de las personas, debemos tener en cuenta dicha legislación, bien sea a través de un dispositivo como el ipad, o mediante cualquier otro dispositivo de almacenamiento.

Áudea Seguridad de la Información

Departamento Legal

Fuente: http://es.globedia.com/ipad-preparado-cumplir-lopd-estamos-nosotros

• Ley 3/2010 por la que se aprueba el Esquema Nacional de Seguridad.
• Ley 4/2010 por la que se aprueba el Esquema Nacional de Interoperabilidad.

Dichas normas nacieron de la Ley 11/2007 de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Concretamente la Ley 4/2010 por la que se aprueba el Esquema Nacional de Interoperabilidad queda falta de desarrollo y concreción normativa. Por tanto, han sido desarrollados los términos relativos al expediente electrónico. Así se han desarrollado el borrador de una serie de Normas Técnicas de Interoperabilidad de obligado cumplimiento por parte de las Administraciones Públicas, respecto cuestiones de utilidad en la relaciones mantenidas entre las Administraciones públicas y con el ciudadano.

 Por enunciar algunos de los puntos afectados, estos serían:

• Digitalización de documentos.
• Documento electrónico.
• Copiado auténtico y conversión.
• Política de firma electrónica y certificados.
• Requisitos de conexión de las Administraciones Públicas y Modelo de datos para el intercambio de asientos entre entidades registrales.

Áudea Seguridad de la Información S.L.

Departamento Técnico

Eduardo Cuevas

www.audea.com

Bajo el paraguas de una supuesta protección de la infancia, a través de una norma que establece la obligatoriedad de “filtros” sobre los contenidos de Internet, se esconde un control general de la red de redes que el gobierno turco, mediante la Asociación de Telecomunicaciones (BTK), dependiente de la Oficina del primer ministro, pretende llevar a cabo.

Dicha norma entrará en vigor el 22 de agosto y “obligará a todas las empresas proveedoras a ofrecer al usuario cuatro diferentes filtros: infantil, familiar, doméstico y estándar. Sin embargo, no pueden ofrecer la opción sin filtro, según denuncia la revista digital ‘bianet’, que recurrió la norma la semana pasada”.

El Gobierno está elaborando una lista “blanca” y otra “negra” para cada uno de los filtros. El problema radica, según denuncia Mustafa Akdil, presidente de la asociación de ‘internautas’ INETD, en que “no habrá control de expertos independientes. No habrá decisiones judiciales. Nadie se hace responsable. No se puede recurrir. No es democrático. Si hay páginas Web que se deban bloquear, debe hacerse a través de un proceso judicial con expertos y defensa”

En definitiva, se utiliza a los niños como pretexto para practicar el más antiguo de los vicios del poder: la censura. El poder se rige como un gran padre de familia, que decide lo que es adecuado o no para su pueblo, vulnerando así el principio de neutralidad de la red, que proclama, entre otros predicamentos, que la información fluya en Internet de manera libre, sin discriminación alguna en función de origen, destino, protocolo o contenido.

Audea Seguridad de la información S.L.

Departamento Legal

www.audea.com

Fuente: ELMUNDO.ES

http://www.elmundo.es/elmundo/2011/04/22/navegante/1303487164.html

La “praxis” más común en este tipo de envíos masivos es incluir los destinatarios del correo en  la extensión “Para”, lo que conlleva que el receptor del mensaje acceda a las direcciones de correo del resto de usuarios a los que se dirige.

Se exponen así a multas de hasta 600 € por violación de la Ley Orgánica de Protección de Datos de Carácter Personal, que en su artículo 10 señala que los responsables del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos.

Esto es así porque la Agencia Española de Protección de Datos ha considerado las direcciones de correo electrónico como datos de carácter personal, tanto en los supuestos en que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado), como en los casos en que la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacer concluir que no nos encontramos ante un dato de carácter personal. Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación.

La solución que puede evitar la denuncia es muy simple, y consiste en enviar el texto mediante la extensión “CCO” (con copia oculta) en lugar de elegir la vía “para” todos los destinatarios agregados.

Fuente: http://www.levante-emv.com/castello/2011/03/07/sanciones-enviar-correos-electronicos-control/788334.html

Áudea Seguridad de la Información

Departamento Comunicación

www.audea.com

A partir de la incorporación a los derechos nacionales de las nuevas normas, las redes sociales como Facebook, Twitter, Linkedin, etc.; deberán garantizar la privacidad de los datos de sus usuarios, a través de la regla de “la privacidad por Defecto”.

Las redes sociales, deberán mostrar total transparencia e informar a los usuarios de cuáles pueden ser los riesgos si sus datos son usados por terceras personas con el objetivo de que éstos no pierdan el control sobre su información personal. También deberán garantizar el derecho a que sus datos sean borrados cuando decidan darse de baja del servicio.

Por otro lado, la Audiencia Nacional estudia los recursos de Google, ya que los contenidos pueden afectar a distintas publicaciones online, como notas de prensa o incluso, relacionarlos directamente con la “seguridad” de personas; por ello, la Agencia Española de Protección de Datos (AEPD) le solicita que aplique en determinados contenidos el llamado “derecho al olvido“, que atienda el derecho de las personas a que sus datos personales no aparezcan en el buscador.

En respuesta, Google negó cualquier responsabilidad y rechazó rotundamente retirar la información, puesto que sería una “fórmula de censura” y que las demandas tendrían que ir a los “editores”; sin embargo, admite, que técnicamente podrían retirar los datos, como solicitan los demandantes, pero eso sería como “vulnerar los derechos de información”, afirma:

“Pedir a los buscadores que se retire la información de forma arbitraria es algo muy peligroso porque los buscadores son una parte fundamental de la sociedad de la información y se estaría atacando a la libertad de expresión”.

Entonces, surge la incógnita: ¿es responsabilidad de Google o de los editores?

Más información en www.audea.com

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

Por una parte, Telefónica Móviles reclamaba al mallorquín varias facturas, de entre 10 y 163 euros, por el consumo de dos líneas. La Junta Arbitral de Consumo de la conselleria de Salut del Govern balear dictó, en marzo del 2009, un laudo dando la razón al particular y conminando a la operadora a que anulara esas facturas y sacara al cliente de los listados de morosos.  

El caso de France Telecom es parecido. La compañía reclamó al mismo palmesano varias facturas por el uso de dos líneas de telefonía móvil. Otro laudo de la conselleria de Salud y Consumo eximió al cliente de pagar unas facturas tras dar por no puesto el contrato. Con ejemplos como este, no sorprende que el 80% de las quejas presentadas ante las oficinas de consumo, sean en el ámbito de las telecomunicaciones.

Tras sendos laudos, las compañías cedieron los datos del afectado con el fin de incluir los mismos en un fichero de morosos, actividad que constituye una infracción grave según la Ley Orgánica de Protección de Datos.

Áudea Seguridad de la Información

Departamento Legal

www.audea.com

Fuente: http://www.diariodemallorca.es/mallorca/2011/03/23/multas-120000-euros-moviles-ceder-datos-cliente-permiso/655443.html