Demandan a Microsoft por rastrear a sus clientes sin su consentimiento
Algunos usuarios de teléfonos móviles que utilizan Windows han interpuesto una demanda al gigante informático acusándolo de estar rastreando su ubicación, aun cuando ellos mismos han solicitado que el software de rastreo sea desactivado. (más…)
El apercibimiento en la LOPD
La Agencia Española de Protección de datos ya está aplicando la figura del apercibimiento regulada en el artículo 45.6 de la LOPD.
Esta figura fue introducida por la Ley 3/2011, de Economía Sostenible que modificó el régimen sancionador de la Ley de Protección de Datos. Faculta a la Agencia, en casos excepcionales, para no abrir procedimiento sancionador frente al infractor y en su lugar apercibirle, entiéndase como hacerle un reproche, por los incumplimientos leves o graves que el infractor hubiese cometido, obligándole a adoptar las medidas correctoras que se estimen convenientes para restituir la situación inicial, en el plazo indicado por la Agencia, y que no se vuelva a producir el incumplimiento de la Ley por los mismos motivos. (más…)
Estafadores utilizan en Facebook a los fan de Michael Jackson
BitDefender ha advertido que la página se llama “I love Michael Jackson” y que no sólo promete a los fans del artista la posibilidad de relacionarse y compartir información, si no que les ofrece la oportunidad de conseguir un iPad o un ordenador de la marca Dell. (más…)
Análisis de la Reforma del Régimen Sancionador de la LOPD
Además de la famosa “Ley Sinde”, la Ley de Economía Sostenible trajo consigo una esperada reforma del régimen sancionador de la Ley Orgánica de Protección de Datos.
A día de hoy se han realizado muchas comparativas entre el antiguo régimen sancionador y el nuevo, pero habiendo pasado unos meses de aplicación práctica, considero oportuno partir de cero y analizar el nuevo régimen sancionador de forma íntegra:
¿Quiénes pueden ser multados?
Según el artículo 43 de la LOPD, están sujetos al régimen sancionador de la LOPD:
Los Responsables de los ficheros; es decir, aquellas entidades que tratan datos personales de forma directa, por ejemplo, de sus empleados o de sus clientes.
Los Encargados del tratamiento; es decir, aquellas entidades que tratan datos personales por encargo del Responsable, por ejemplo, la gestoría que hace las nóminas de los empleados del Responsable, o el callcenter que atiende las llamadas de los clientes del Responsable.
¿Y qué sucede con las administraciones públicas? (empresas públicas, ayuntamientos, etc.). No reciben multas, ya que las pagaríamos los ciudadanos de forma indirecta, pero la agencia de protección de datos que corresponda deberá dictar una resolución exigiendo las medidas que deben adaptarse para solucionar la infracción, y con la posibilidad de abrir un procedimiento disciplinario dentro de la propia administración pública. En principio, esto debería evitar casos tan graves como aquel protagonizado por la DGT y su sistema de consulta de puntos.
¿Y se puede multar a un ciudadano? Mientras los ciudadanos traten datos dentro de su esfera personal o familiar, no. Cualquier otro tratamiento o recogida de datos personales, será potencialmente sancionable.
Como curiosidad, cabe destacar que el artículo 43 de la LOPD no menciona la figura del Responsable del Tratamiento, identificada a lo largo de toda la Ley como sinónimo del Responsable del Fichero. Sin embargo, la Agencia Española de Protección de Datos, la Audiencia Nacional y el Tribunal Supremo entienden el Responsable del Tratamiento como una figura independiente. Esto supone que en caso de recibir una denuncia como Responsable del Tratamiento, podría alegarse que la LOPD no reconoce tal figura dentro de su régimen sancionador (aunque es probable que la AEPD hiciese caso omiso de tal contradicción).
¿Qué actividades pueden ser multadas?
El artículo 44 de la LOPD diferencia 3 grados de infracción: leve, grave y muy grave.
Son infracciones leves:
No inscribir o no tener correctamente inscritos los ficheros en el Registro General de Protección de Datos. Una gran cantidad de ficheros inscritos en el RGPD tienen defectos o campos sin rellenar que actualmente son obligatorios.
No poner la cláusula informativa LOPD en todas las vías de entrada de datos personales. Sólo se apreciará esta infracción en los casos en que no sea necesario el consentimiento inequívoco, ya que en los supuestos en los que sí es necesario, la infracción será grave o, en su caso, muy grave.
No tener un contrato con el Encargado del tratamiento con las cláusulas exigidas por la Ley.
Son infracciones graves:
Incumplir el Principio de Calidad del artículo 4 de la LOPD que, en suma, significa que los datos tienen que ser correctos y actualizados, y deben ser utilizados para la finalidad para la cual se recogieron.
Tratar o ceder datos sin consentimiento inequívoco del afectado cuando éste sea necesario (salvo que sean datos especialmente protegidos)
Vulnerar el deber de secreto con respecto a los datos personales, como por ejemplo, publicarlos en Internet sin consentimiento.
Impedir o poner trabas al ejercicio de los derechos reconocidos por la LOPD (acceso, rectificación, cancelación y oposición).
No implantar correctamente las medidas de seguridad
No hacer caso de los requerimientos de la AEPD u obstruir su función inspectora
Finalmente, son infracciones muy graves:
Tratar datos de forma engañosa o fraudulenta.
Tratar o ceder datos especialmente protegidos sin el consentimiento necesario.
No cesar en el tratamiento de los datos cuando la AEPD haya declarado ilícito tal tratamiento.
Efectuar transferencias internacionales de datos sin cumplir con las obligaciones de la LOPD.
Mi empresa cometió una infracción hace años cuando no sabíamos nada de esta Ley. ¿Me pueden multar? Las infracciones tienen un plazo de prescripción: 1 año para las leves, 2 para las graves y 3 para las muy graves (siempre desde la fecha de comisión de la infracción). Superado este plazo, no se pueden sancionar.
Y ¿a cuánto pueden ascender las multas?
En principio, el importe de las multas debe seguir el siguiente baremo:
Infracciones leves: 900 euros – 40.000 euros
Infracciones graves: 40.000 euros – 300.000 euros
Infracciones muy graves: 300.000 euros – 600.000 euros
Pero mi empresa cometió una infracción grave por accidente, ¿me van a multar con 40.000 euros o con 300.000 euros? La AEPD puede apreciar algunas circunstancias atenuantes o agravantes a la hora de graduar una sanción:
El carácter continuado de la infracción.
El volumen de los tratamientos efectuados.
La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
El volumen de negocio o actividad del infractor.
Los beneficios obtenidos como consecuencia de la comisión de la infracción.
El grado de intencionalidad.
La reincidencia por comisión de infracciones de la misma naturaleza.
La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
Pero los 40.000 como mínimo, no me los quita nadie, ¿no? La AEPD podrá rebajar la multa un escalón (multar como leve una infracción grave, o como grave una infracción muy grave), en los siguientes casos:
Cuando concurran varias circunstancias atenuantes de las expuestas.
Cuando se haya corregido el defecto que dio origen a la infracción.
Cuando se aprecie mala fe por parte del denunciante, provocando la infracción.
Cuando el infractor reconozca espontáneamente su culpabilidad.
Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente (esto quiere decir que, en la compra de una empresa, podríamos ser multados por las infracciones anteriores de la empresa, por lo que es recomendable prever un régimen de responsabilidades muy fino en el contrato que regule tal operación).
Además, excepcionalmente, la AEPD podrá aplicar la figura del Apercibimiento. En tal caso, en lugar de abrir procedimiento sancionador, la AEPD exigiría la subsanación de la infracción en un plazo máximo. En caso de subsanarse correctamente, se archivaría el expediente.
Para ello, tienen que concurrir las siguientes circunstancias:
Que sea una infracción leve o grave (las muy graves no podrán disfrutar de tal posibilidad).
Que la empresa no haya sido multada previamente en materia de Protección de Datos.
Sin duda, lo mejor que puede hacer una empresa es implantar procedimientos para evitar que se comentan infracciones, pero nadie está libre de cometer errores y accidentes, y en esos casos, actuar de buena fe, reconocer el error, y corregirlo de forma diligente, puede ser la diferencia entre tener que cerrar la empresa o disponer de una segunda oportunidad.
Áudea Seguridad de la Información
José Carlos Moratilla
Consultor Legal
www.audea.com
Plazo de conservación de los documentos de auditoría
Según el art. 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal , en adelante Reglamento, “a partir del nivel de seguridad medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento” del Título VIII del Reglamento, añadiendo que “con carácter extraordinario deberá realizarse dicha auditoria siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas”. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
Se dice posteriormente que el informe de auditoría deberá estar a disposición de las agencias de protección de datos pero no indica durante cuánto tiempo deben conservarse estos informes.
El art. 44.3 h) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, indica que “es infracción grave mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. Dicha infracción prescribirá a los dos años de su comisión, tal y como dispone el art. 47.1 de la LOPD. Así la entidad requerida debería siempre tener a disposición de la Agencia un informe emitido durante los dos años anteriores al momento en el que se solicita el requerimiento.
El siguiente informe jurídico de la Agencia Española de Protección de datos corrobora lo mencionado anteriormente.
Sin embargo la Autoridad Catalana de Protección de Datos, considera que el plazo de conservación de estos documentos de Auditoría sería de tres años en el dictamen que a continuación se relaciona.
http://www.apdcat.net/media/dictamen/es_286.pdf#search=”Historias clinicas sin medida de seguridad “
En este dictamen la Autoridad Catalana en un primer momento y con misma fundamentación que la Agencia Española llega a la conclusión que debe ser 2 años el plazo de conservación.
Pero posteriormente considera que el registro de incidencias, puede resultar un valioso elemento probatorio en la investigación de otros tipos de infracciones que tienen atribuido un plazo de prescripción más largo, en el caso de infracciones muy graves, que tendría un plazo de prescripción de tres años.
Pero además el artículo 19 de la LOPD también contempla la responsabilidad por daños o lesiones que las personas afectadas sufran en sus bienes o derechos, ya sea mediante la reclamación de la responsabilidad de la Administración, cuando el daño sea imputable a una Administración pública, o mediante el sistema de responsabilidad extracontractual establecido en el derecho civil. En este sentido, disponer de la documentación relativa a las auditorías puede ser un elemento probatorio importante para la acreditación de la diligencia del responsable en el cumplimiento de las medidas de seguridad exigibles. Al respecto hay que recordar que la letra d) del artículo 121-21 del Libro primero del Código Civil de Cataluña establece que prescriben a los tres años las pretensiones derivadas de responsabilidad extracontractual, y las demás pretensiones al cabo de diez años, salvo la recuperación de la posesión (artículos 121-20 y 121-22). En conclusión, la documentación que forma parte de las auditorías de seguridad requeridas por dicha normativa debe conservarse durante un período mínimo de tres años, o hasta que se realice la auditoría de seguridad siguiente, si esta no se ha efectuado dentro del plazo de dos años exigible.
Audea Seguridad de la Información
Aurelio J. Martínez Ferre.
Departamento Legal
