Facebook como “actividad de riesgo”
Facebook otra vez en el punto de mira y de nuevo desde Alemania. Esta vez ha sido el presidente del Tribunal Constitucional alemán, Andreas Vosskuhle, quien carga contra la red social calificándola como “actividad de riesgo” debido a la desprotección de los datos de los usuarios. (más…)
Más de 2,5 millones de ficheros inscritos en la AEPD
El Registro General de Protección de Datos – RGPD – ha superado ya los 2.500.000 ficheros inscritos, según se refleja de la estadística mensual mencionada por dicho organismo correspondiente al mes de septiembre. Este dato representa un incremento de un 22,7 % al dato del mismo mes un año antes.
Entre los sectores que se han notado una mayor actividad en las notificaciones a la AEPD destaca en primer lugar las comunidades de propietarios, con más de 300.000 ficheros inscritos y un incremento de un 25%. Por otro lado, destacan tanto el incremento de las pequeñas y medianas empresas del sector comercio principalmente, como las empresas del sector sanitario; empresas conscientes del tratamiento de datos de salud que realizan.
De los ficheros inscritos, se desprende que 115.000 son de titularidad pública, pertenecientes a las Administraciones Públicas, y 2.400.000 de titularidad privada, habiendo sido inscritos por más de 900.000 empresas y organizaciones. Cataluña, Andalucia y Madrid son las comunidades autónomas que más ficheros inscriben.
La LOPD establece la obligación para todos los organismos y entidades, sean públicas o privadas, dar de alta los ficheros que contengan datos de carácter personal (clientes, pacientes, videovigilancia, personal, etc.), con un simple objetivo; hacer público a los ciudadanos quién trata sus datos y así poder ejercer sus derechos de acceso, rectificación, cancelación y oposición.
Áudea Seguridad de la Información SL
Departamento Legal
Fuente: www.agpd.es
La APEP alerta contra estafas en el asesoramiento en materia de LOPD
La Asociación Profesional Española de Privacidad (APEP) advierte la existencia de estafas en el asesoramiento en materia de Protección de Datos.
Éstas consisten en suplantar la identidad de la Agencia Española de Protección de Datos, por medio de empresas que registran dominios de Internet con denominaciones similares al de la propia Agencia. Es el caso que tenemos a continuación, en el que el dominio utilizado es “agenciaprotecciondatos.net”.
Obtenido el dominio, la empresa envía un mensaje de correo anunciando una supuesta inminente Inspección de la AEPD. Una vez se dispone de un dominio basta con buscar empresas cuya cuenta de correo sea pública y se envía un mensaje como el que sigue:
Date: Mon, 26 Sep 2011 10:23:19 +0200
From: info@agenciaprotecciondedatos.net
Subject: Notificacion Urgente
Estimado Sr __________
Le comunicamos que pronto recibira la visita de un Agente Inspector
para comprobar si cumple con la normativa de LOPD (Ley Organica de Proteccion de Datos)
Le recordamos que deve tener visibles los documentos que acreditan dicha inscripcion en nuestros archivos
Si la gestion de sus datos lo gestiona una empresa o agente autorizado (INFORMATICAS, CONSULTORAS o ADMINISTRADORAS)
deve facilitarnos los datos de la misma para comprobar su inscripcion en nuestros sistemas.
Recordandole que de no cumplir con la normativa vigente sobre la proteccion de datos puede recibir una sancion de 900 a 40.000EUR
Rogamos nos indique su horario laboral para consertar la cita de nuestro agente
De no indicarnos su horario laboral procederemos hacer visita sorpresa
AGENCIA DE PROTECCION DE DATOS
COORDINADOR DE AGENTES
Aún a pesar de lo pueril del método empleado, el desconocimiento sobre estos temas en algunos ámbitos y el temor que infunde la AEPD en los mismos ha provocado que la APEP haya “puesto estos hechos en conocimiento de las autoridades policiales y administrativas competentes, y sin perjuicio de otras acciones que puedan emprenderse, se hace un llamamiento a quienes los reciban a poner en conocimiento los hechos mediante denuncia formulada ante las Fuerzas y Cuerpos de Seguridad del Estado”, apelando a “las Cámaras de Comercio y a las organizaciones empresariales para que procedan a informar a sus asociados y a prevenir ante este tipo de actuaciones”.
La APEP considera perjudicial esta conducta por cuanto “afecta al buen nombre de una alta institución del Estado, la Agencia Española de Protección de Datos, y genera desconfianza respecto de quienes desarrollan tareas de consultoría con la adecuada profesionalidad”.
Conviene recordar en este punto, y así lo hace la OPEP, que “la implementación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal por todas las organizaciones constituye un proceso beneficioso más allá del mero cumplimiento normativo”, en tanto que provee de seguridad y calidad a todos “los procesos basados en el uso de tecnologías de la información y de las comunicaciones“, otorgando así confianza a “aquellas personas cuyos datos tratamos”.
Áudea Seguridad de la Información
Departamento Derecho NNTT
www.audea.com
FUENTE: www.apep.es
Video Vigilancia en las Comunidades de Propietarios
Es cada vez más habitual que con motivo de la vigilancia de las comunidades de propietarios bien se contrate un portero, o con intención de ahorrar un salario, se coloquen videocámaras que controlen la entrada y salida de personas al edificio. El problema en este último caso consiste en saber si las cámaras están tratando datos de carácter personal, y en el caso de que así fuera, qué obligaciones existen con respecto a estas imágenes por parte de las Comunidades. En este artículo veremos la evolución que la Agencia Española de Protección de datos ha seguido hasta la actualidad. (más…)
Análisis de la Reforma del Régimen Sancionador de la LOPD
Además de la famosa “Ley Sinde”, la Ley de Economía Sostenible trajo consigo una esperada reforma del régimen sancionador de la Ley Orgánica de Protección de Datos.
A día de hoy se han realizado muchas comparativas entre el antiguo régimen sancionador y el nuevo, pero habiendo pasado unos meses de aplicación práctica, considero oportuno partir de cero y analizar el nuevo régimen sancionador de forma íntegra:
¿Quiénes pueden ser multados?
Según el artículo 43 de la LOPD, están sujetos al régimen sancionador de la LOPD:
Los Responsables de los ficheros; es decir, aquellas entidades que tratan datos personales de forma directa, por ejemplo, de sus empleados o de sus clientes.
Los Encargados del tratamiento; es decir, aquellas entidades que tratan datos personales por encargo del Responsable, por ejemplo, la gestoría que hace las nóminas de los empleados del Responsable, o el callcenter que atiende las llamadas de los clientes del Responsable.
¿Y qué sucede con las administraciones públicas? (empresas públicas, ayuntamientos, etc.). No reciben multas, ya que las pagaríamos los ciudadanos de forma indirecta, pero la agencia de protección de datos que corresponda deberá dictar una resolución exigiendo las medidas que deben adaptarse para solucionar la infracción, y con la posibilidad de abrir un procedimiento disciplinario dentro de la propia administración pública. En principio, esto debería evitar casos tan graves como aquel protagonizado por la DGT y su sistema de consulta de puntos.
¿Y se puede multar a un ciudadano? Mientras los ciudadanos traten datos dentro de su esfera personal o familiar, no. Cualquier otro tratamiento o recogida de datos personales, será potencialmente sancionable.
Como curiosidad, cabe destacar que el artículo 43 de la LOPD no menciona la figura del Responsable del Tratamiento, identificada a lo largo de toda la Ley como sinónimo del Responsable del Fichero. Sin embargo, la Agencia Española de Protección de Datos, la Audiencia Nacional y el Tribunal Supremo entienden el Responsable del Tratamiento como una figura independiente. Esto supone que en caso de recibir una denuncia como Responsable del Tratamiento, podría alegarse que la LOPD no reconoce tal figura dentro de su régimen sancionador (aunque es probable que la AEPD hiciese caso omiso de tal contradicción).
¿Qué actividades pueden ser multadas?
El artículo 44 de la LOPD diferencia 3 grados de infracción: leve, grave y muy grave.
Son infracciones leves:
No inscribir o no tener correctamente inscritos los ficheros en el Registro General de Protección de Datos. Una gran cantidad de ficheros inscritos en el RGPD tienen defectos o campos sin rellenar que actualmente son obligatorios.
No poner la cláusula informativa LOPD en todas las vías de entrada de datos personales. Sólo se apreciará esta infracción en los casos en que no sea necesario el consentimiento inequívoco, ya que en los supuestos en los que sí es necesario, la infracción será grave o, en su caso, muy grave.
No tener un contrato con el Encargado del tratamiento con las cláusulas exigidas por la Ley.
Son infracciones graves:
Incumplir el Principio de Calidad del artículo 4 de la LOPD que, en suma, significa que los datos tienen que ser correctos y actualizados, y deben ser utilizados para la finalidad para la cual se recogieron.
Tratar o ceder datos sin consentimiento inequívoco del afectado cuando éste sea necesario (salvo que sean datos especialmente protegidos)
Vulnerar el deber de secreto con respecto a los datos personales, como por ejemplo, publicarlos en Internet sin consentimiento.
Impedir o poner trabas al ejercicio de los derechos reconocidos por la LOPD (acceso, rectificación, cancelación y oposición).
No implantar correctamente las medidas de seguridad
No hacer caso de los requerimientos de la AEPD u obstruir su función inspectora
Finalmente, son infracciones muy graves:
Tratar datos de forma engañosa o fraudulenta.
Tratar o ceder datos especialmente protegidos sin el consentimiento necesario.
No cesar en el tratamiento de los datos cuando la AEPD haya declarado ilícito tal tratamiento.
Efectuar transferencias internacionales de datos sin cumplir con las obligaciones de la LOPD.
Mi empresa cometió una infracción hace años cuando no sabíamos nada de esta Ley. ¿Me pueden multar? Las infracciones tienen un plazo de prescripción: 1 año para las leves, 2 para las graves y 3 para las muy graves (siempre desde la fecha de comisión de la infracción). Superado este plazo, no se pueden sancionar.
Y ¿a cuánto pueden ascender las multas?
En principio, el importe de las multas debe seguir el siguiente baremo:
Infracciones leves: 900 euros – 40.000 euros
Infracciones graves: 40.000 euros – 300.000 euros
Infracciones muy graves: 300.000 euros – 600.000 euros
Pero mi empresa cometió una infracción grave por accidente, ¿me van a multar con 40.000 euros o con 300.000 euros? La AEPD puede apreciar algunas circunstancias atenuantes o agravantes a la hora de graduar una sanción:
El carácter continuado de la infracción.
El volumen de los tratamientos efectuados.
La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
El volumen de negocio o actividad del infractor.
Los beneficios obtenidos como consecuencia de la comisión de la infracción.
El grado de intencionalidad.
La reincidencia por comisión de infracciones de la misma naturaleza.
La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
Pero los 40.000 como mínimo, no me los quita nadie, ¿no? La AEPD podrá rebajar la multa un escalón (multar como leve una infracción grave, o como grave una infracción muy grave), en los siguientes casos:
Cuando concurran varias circunstancias atenuantes de las expuestas.
Cuando se haya corregido el defecto que dio origen a la infracción.
Cuando se aprecie mala fe por parte del denunciante, provocando la infracción.
Cuando el infractor reconozca espontáneamente su culpabilidad.
Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente (esto quiere decir que, en la compra de una empresa, podríamos ser multados por las infracciones anteriores de la empresa, por lo que es recomendable prever un régimen de responsabilidades muy fino en el contrato que regule tal operación).
Además, excepcionalmente, la AEPD podrá aplicar la figura del Apercibimiento. En tal caso, en lugar de abrir procedimiento sancionador, la AEPD exigiría la subsanación de la infracción en un plazo máximo. En caso de subsanarse correctamente, se archivaría el expediente.
Para ello, tienen que concurrir las siguientes circunstancias:
Que sea una infracción leve o grave (las muy graves no podrán disfrutar de tal posibilidad).
Que la empresa no haya sido multada previamente en materia de Protección de Datos.
Sin duda, lo mejor que puede hacer una empresa es implantar procedimientos para evitar que se comentan infracciones, pero nadie está libre de cometer errores y accidentes, y en esos casos, actuar de buena fe, reconocer el error, y corregirlo de forma diligente, puede ser la diferencia entre tener que cerrar la empresa o disponer de una segunda oportunidad.
Áudea Seguridad de la Información
José Carlos Moratilla
Consultor Legal
www.audea.com
