En el transcurso de la investigación abierta en abril por el Servicio Público de Empleo sobre uso de los fondos de formación continua, se ha detectado una posible bolsa de fraude en el al menos una de cada cuatro empresas analizadas podría haber incurrido en irregularidades, que algunas empresas utilizaban para financiarse la contratación de los servicios de protección de datos de algunas consultoras dedicadas a esta actividad. También se ha empezado a investigar a las más de veinte consultoras denunciadas por la patronal del sector tras ofrecer de forma gratuita los servicios de protección, algunas incluso publicadas en revistas. A la mitad de ellas se les ha descubierto alguna incidencia; las inspecciones siguen abiertas.
La investigación se abrió a partir de las denuncias de las patronales de empresas del sector de la protección de datos, tras detectar que, al menos desde 2007, cada vez más competidores han vendido sus servicios a coste cero, y a menudo a través de colegios profesionales. Esto era posible porque la consultora incluía en sus servicios un curso financiado por la Fundación Tripartita, siendo así la subvención para el reciclaje de los trabajadores la que pagaba los servicios de protección de datos. Según el diario Público, alguna de estas consultoras puede haber implantado la protección de datos a 3.700 empresas.
La investigación se centra sobre todo en las empresas que contrataron los servicios, que se beneficiaron de créditos en las cuotas de formación profesional y por tanto habrían defraudado los fondos de formación. Además de las posibles se ha puesto el caso en manos de la Agencia Tributaria, para analizar el posible fraude fiscal, (las empresas estarían exentas de pagar el IVA por los cursos de formación, que no están gravados, pero no de los servicios de consultoría para la implementación de datos, a los que se debe aplicar IVA), lo que no descarta irregularidades en otros ámbitos, como podría ser la posible reducción drástica de precios y competencia desleal.
Pese a que en 2004 el Gobierno del PP intentó vetar la presencia de sindicatos y patronales en la entidad que gestiona los fondos de formación continua, estas organizaciones siguen participando en la decisión de sus líneas maestras, que deciden el reparto de más de 1.500 millones de euros. Las cotas de irregularidades detectadas entre 1994 y 2000 provocaron que la Comisión Europea obligara a España a devolver 105 millones de euros recibidos del Fondo Social Europeo. El escaso control de los recursos estuvo a punto de paralizar la llegada de estos fondos estructurales a causa de las diferentes investigaciones abiertas.
Fuente: www.publico.es
Tras la publicación en Heraldo de Zaragoza del robo el 22 de marzo de 2009, y denunciado el 24 de marzo del mismo año, de un lápiz de memoria del Hospital Provincial de la ciudad, en el cual aparecían datos de carácter personal de empleados (nombre, apellidos, código de cuenta corriente y salario de cada trabajador), una particular envió un escrito de denuncia a la Agencia Española de Protección de Datos (AEPD).
Según el informe publicado el pasado 2 de julio, la AEPD inició actuaciones previas, en las que se constató que el robo se produjo al forzar la puerta de la oficina de personal del centro sanitario. El informe concluye que tanto el Servicio Aragonés de Salud como el Hospital Provincial incurrieron en una infracción por no tener terminado y al día el Documento de Seguridad del centro, y resuelve que se ha infringido la normativa vigente en materia de Protección de Datos. La AEPD ha requerido a ambas entidades, mediante dicho informe, que adopten las medidas oportunas para que no vuelva a ocurrir un hecho parecido, e insta al Hospital Provincial a que termine el Documento de Seguridad que está elaborando “e implante todas las medidas que se requieren legal y reglamentariamente”.
Fuente: http://todonoticiasLOPD.com, www.heraldo.es
El gobierno alemán prepara una Ley para la privacidad en el trabajo, cuya principal novedad consiste en prohibir a los empleadores utilizar las redes sociales como fuente de información acerca de los candidatos en los procesos de selección. La norma fue impulsada en su día por la jefa de Estado, Angela Merkel.
El proyecto de Ley pretende restringir los accesos de los patrones sólo a los datos que se encontrasen en perfiles de redes sociales profesionales, como LinkedIn. Sin embargo, no permitiría la búsqueda de información más allá de la pública en redes meramente sociales, como Facebook.
También se prohibirá que se grabe a los trabajadores en su lugar de trabajo sin su conocimiento, aunque se permitiría la grabación en algunos lugares siempre que se les comunique este hecho a los empleados.
El consejo de ministros ya ha dado su visto bueno y ahora solo falta la aprobación por el Parlamento, por lo que es muy probable que la nueva normativa entre en vigor este mismo año.
Las autoridades alemanas de protección de datos aseguran que la propuesta es una mejora considerable en el ’status quo’ a la hora de tratar con los datos de los empleados.
Por su parte, una portavoz de Facebook, explicó que la compañía no hace comentarios sobre privacidad, puesto que las opciones de privacidad de la red social permiten que sus usuarios compartan la información a su gusto, pudiendo permitir el acceso a su perfil ya sea a toda la red o sólo a un número limitado de personas.
La legislación alemana que impediría que las empresas usen información privada de las redes sociales para contratar sería la primera de este tipo en el mundo. No hay lugar a duda que es un gran paso en poner freno a la práctica cada vez más frecuente entre los responsables de personal de las empresas de bucear en las redes sociales y recabar la información sobre los vicios y hábitos de sus empleados.
No obstante todos están consientes de lo difícil que será su aplicación, puesto que tendrá que ser el candidato o trabajador responsable de probar que una actuación de la empresa se haya basado en publicaciones aparecidas en la red social.
Fuente: www.elmundo.es
Como se ha indicado en otras ocasiones, el derecho de rectificación tiene carácter personalísimo, lo que significa que solamente podrá ejercerlo el titular de los datos, acreditando previamente su representación.
Para ejercer este derecho, el titular o afectado de los datos de carácter personal ejercitará ante el responsable del fichero, acreditando su identificación y la del fichero/s que desea consultar. En esta petición se incluirá, al menos, la siguiente información:
? La propia solicitud de rectificación, indicando los datos erróneos y la corrección que corresponda.
? El nombre y apellidos del afectado.
? El domicilio a efectos de contestación postal.
? La fecha.
? La firma.
? Fotocopia del DNI.
? Otra documentación que acredite su petición de rectificación.
Por último, indicar que para el supuesto (bastante habitual) en el que la solicitud de rectificación no reúne los requisitos reseñados, el responsable del fichero procederá a solicitar su subsanación.
Áudea Seguridad de la Información – www.audea.com
La LOPD establece como regla general que los datos de carácter personal sólo podrán ser cedidos o comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente (el centro sanitario) y cesionario con el previo consentimiento del interesado.
Sin embargo, esta regla general no resulta aplicable si existe una Ley autoriza la cesión (o comunicación de datos), es decir, no sería necesario el consentimiento para que los datos clínicos pudieran ser cedidos. Pensemos, por ejemplo, en la cesión o comunicación a los jueces y tribunales. El ejemplo que hemos puesto se concreta en la Ley 41/2002 de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica, que regula el acceso a la historia clínica con fines de investigación judicial.
En relación al archivo de historiales clínicos, los criterios básicos de archivo están contenidos en la citada Ley 41/2002, que establece que cada centro sanitario archiva las historias clínicas de sus pacientes, con independencia de su soporte, de manera que esté garantizada su seguridad, y correcta conservación.
Según esta Ley, cada historia clínica se llevará con criterios de unidad y de integración para facilitar el mejor conocimiento por parte de los profesionales sanitarios de los datos personales de un determinado paciente.
Áudea Seguridad de la Información – www.audea.com
Estas acciones online adolecen de serios problemas, tanto en el ámbito de la Protección de Datos, como en el de los Servicios de la Sociedad de la Información:
Protección de Datos
Para todo tratamiento de datos personales se exige información y consentimiento previos al tratamiento. Asimismo, debe informarse y obtener el consentimiento de cualquier afectado cuando sus datos vayan a ser revelados a un tercero.
En las campañas de “envía a un amigo”, se tratan datos del destinatario sin haber informado ni obtenido su consentimiento. Además, se revela al destinatario el nombre del remitente.
Servicios de la Sociedad de la información
Para el envío de comunicaciones comerciales por medios electrónicos, se exige haber obtenido un consentimiento expreso del destinatario.
Sin embargo, no se consideran comunicaciones comerciales electrónicas “los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio”
Solución recomendada
Informar al remitente de que sus datos van a ser comunicados al destinatario y responsabilizarle de consentir en nombre del destinatario. En todo caso, los datos deben ser eliminados tras el envío:
“Sus datos serán comunicados al destinatario. Sus datos y los del destinatario serán procesados y eliminados inmediatamente tras el envío. Usted consiente en nombre del destinatario el envío de este contenido por email”
El contenido del email debe ceñirse a la excepción de la normativa para que no sea una comunicación comercial, sin logos, marcas, ni textos comerciales de ningún tipo. Por ejemplo:
Asunto: Recomendación de [nombre del amigo]
Contenido: [URL recomendada]
Áudea Seguridad de la Información
El pasado 27 de julio el Tribunal Supremo dio a conocer tres sentencias (sobre los recursos contenciosos administrativos 23/2008, 25/2008 y 26/2008) en que se declaran nulos, por ser contrarios a derecho, los artículos 11, 18, 38. 2, y 123.2 así como de la última frase del artículo 38.1.a), del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RLOPD y LOPD, respectivamente).
El Tribunal considera que el artículo 11 del RLOPD que permitía la verificación por las Administraciones Públicas de datos en solicitudes formuladas por los ciudadanos sin requerir consentimiento de estos, habilita una cesión de datos al margen de los supuestos autorizados por los artículos 6 y 11 de la LOPD. La declaración de nulidad del precepto conlleva una garantía de protección de los datos de personas físicas ante la gestión de las Administraciones Públicas, pero también una incomodidad para el ciudadano, que deberá volver a declarar los datos personales de que se trate o acreditar su autenticidad. Este problema podría resolverse incorporando en los formularios que rellenen los ciudadanos una autorización expresa para la verificación o comunicación de datos por parte de la Administración correspondiente.
El Tribunal declara nulo el artículo 18 del RLOPD (“Acreditación del cumplimiento del deber de información”) por imponer al responsable del fichero, ilegítimamente y sin respaldo en la LOPD, la obligación de la constancia documental o acreditación del deber de información al afectado. El Supremo expresa que la LOPD “ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) (…). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma”. La Sentencia suprime, con este artículo, dos obligaciones: la de informar por un medio que permita acreditarlo, y la de conservar el soporte en el que conste el cumplimiento del deber de informar.
En el artículo 38 (sobre requisitos para la inclusión de los datos en ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado) se expresa que es requisito para esa inclusión la “existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada”. Se elimina la frase “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”. La supresión de esta frase, por defectuosa redacción e inconcreción de su contenido (ya que permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero), afecta a la defensa del ciudadano ante las prácticas de empresas que ante una deuda incluyen los datos de sus “deudores” en un fichero de morosos por deudas sobre cuya existencia o cuantía puede haber discrepancia.
La declaración de nulidad del artículo 38.2 beneficia a las empresas y demás responsables de fichero, ya que este párrafo trasladaba a estos la carga de la prueba de la concurrencia de los requisitos del artículo 38.1 en términos que originan una inseguridad jurídica que podría dar lugar a apertura de expedientes sancionadores. Sin embargo, para el ciudadano aumenta la desprotección, ya que no puede combatir la presunción del declarante. Deberá seguir observándose el derecho a la impugnación de las valoraciones (art. 13 LOPD), “Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad”, debiendo admitir las empresas titulares de ficheros de solvencia patrimonial la impugnación de las deudas inscritas y del acceso de entidades a los datos, por ejemplo, para decidir la denegación de crédito.
Por último, el artículo 123.2 (“Personal competente para la realización de actuaciones previas”) trata la potestad de designación del Director de la AEPD en relación con supuestos excepcionales no delimitados, con una falta de concreción que supone una libertad de designación incompatible con el limitado y específico de la encomienda de gestión de los artículos 35, 37 y 40 de la LOPD.
Áudea, Seguridad de la Información
www.audea.com
La grabación de la imagen de un usuario del centro de atención de personas con minusvalías psíquicas y físicas es un dato de carácter personal, siendo éste el criterio seguido por la Agencia Española de Protección de Datos.
La captación y grabación de imágenes con la finalidad de control se encuentra sometida a lo dispuesto en la normativa de protección de datos, en particular a si los “afectados” resultan identificables en pasillos (y zonas de tránsito) dónde se captan las imágenes.
Desde Áudea entendemos que si la captación de imágenes no desborda el ámbito de vigilancia y control de los usuarios, el nivel de seguridad que resulta de aplicación es básico; no obstante, si la captación de las imágenes se emplea con la finalidad de valorar comportamientos, entendemos que el nivel de seguridad aplicable es, al menos, medio.
La instalación de cámaras de video vigilancia en pasillos y zonas de tránsito del centro sólo deberá realizarse si resulta adecuado e implica una mínima afectación de los derechos fundamentales de los usuarios.
Entendemos, siguiendo el propio criterio de la propia AEPD, que si los usuarios o el personal encargado de su cuidado pudiera correr peligro, la medida de instalar cámaras de video vigilancia podría entenderse como necesaria y proporcional, siempre y cuando se limitase estrictamente a ésta (y no a otra) finalidad. No obstante, como señala la AEPD sería necesario atender a las circunstancias particulares.
En Áudea recomendamos que las cámaras de video vigilancia respeten el principio de proporcionalidad, ubicándose éstas en los pasillos (o zonas de tránsito del centro) y orientándose de modo tal que no capten imágenes en dependencias. Por lo tanto, la zona objeto de video vigilancia será la mínima imprescindible y, lógicamente (además de la Ley es preciso aplicar el sentido común) las cámaras de video vigilancia no deben registrar espacios protegidos por el derecho fundamental a la intimidad: vestuarios del personal, baños, vestuarios, etc. prohibición que como recogen recientes noticias en la prensa, no siempre se tiene en consideración.
Áudea Seguridad de la Información
ww.audea.com
El cumplimiento de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, es un imperativo legal emanado del marco normativo de la Unión Europea ligado a la regulación de diversos aspectos de los servicios de la sociedad de la información y del comercio electrónico en el mercado interior.
La incorporación de Internet a la vida económica y social ofrece innumerables ventajas, como la mejora de la eficiencia empresarial, el incremento de las posibilidades de elección de los usuarios y la aparición de nuevas fuentes de empleo. Pero la implantación de Internet y las nuevas tecnologías tropieza con algunas incertidumbres jurídicas, que es preciso aclarar con el establecimiento de un marco jurídico adecuado, que genere en todos los actores intervinientes la confianza necesaria para el empleo de este nuevo medio.
Precisamente, la LSSI pretende que se puedan aplicar las normas tradicionales a las mismas actividades realizadas por medios electrónicos, ocupándose tan sólo de aquellos aspectos que, ya sea por su novedad o por las peculiaridades que implica su ejercicio por vía electrónica, no están cubiertos por dicha regulación tradicional.
Áudea aplica una metodología de análisis consolidada gracias a la experiencia adquirida en los numerosos proyectos realizados y las sugerencias de mejora de nuestros clientes, lo que nos permite obtener unos resultados objetivos, concretos y útiles para las organizaciones.
Beneficios
La aplicación de nuestra metodología de análisis y evaluación de la situación con respecto a la normativa de protección de datos permite al cliente:
• Contar con un análisis completo de la situación en relación con la normativa vigente.
• Evitar la imposición de sanciones, costes legales y responsabilidades.
• Aumentar la confianza con respecto a sus clientes.
• Incrementar la coherencia en las actuaciones de la organización en el tratamiento de una información que forma parte esencial de sus activos.
En definitiva, permite establecer el primer elemento para alcanzar una cultura de la seguridad y una excelencia en el tratamiento de la información en todos sus procesos de negocio.
Para más información contacte con nosotros en el 91.7451157 o mediante correo electrónico a info@audea.com.
Áudea Seguridad de la Información
http://www.audea.com/
El procedimiento general de alta de usuarios que debe considerarse en el Documento de Seguridad de cualquier entidad es aplicable a todos los ficheros y aplicaciones de los sistemas de información del Responsable del Fichero.
Consideramos que el alta de usuarios debiera integrar los siguientes puntos:
1.- Detallar en la solicitud los accesos que se precisan, según las funciones que vaya a desempeñar, mediante la cumplimentación del formulario de solicitud de alta, baja o modificación de acceso que deberá tener cada Responsable del Fichero.
2.- Para que el proceso de alta de usuario se realice correctamente, es preciso cumplimentar una serie de apartados:
a. Nombre y apellidos del interesado.
b. Dirección, área, departamento al que pertenece el solicitante.
c. Servicio para el que se solicita el acceso.
d. Fecha de la solicitud.
e. Firma del responsable.
Áudea Seguridad de la Información
http://www.audea.com/
