Protección de Datos

Por el título de este artículo podría pensarse que vamos a comentar una nueva sanción por encontrar documentación privada o confidencial en la vía pública, sin embargo no es el caso.

Con este artículo pretendo poner de relieve un hecho que hasta ahora parece haber pasado desapercibido por las autoridades de Protección de Datos nacionales y por las propias Administraciones locales.

La inspiración para escribir este artículo me vino al encontrarme en la calle una multa (boletín de denuncia) de un vehículo por estacionar en una zona reservada a residentes con distintivo (zona naranja en Murcia), pero naturalmente es también aplicable a las multas de la zona azul o zona verde.

Como todos sabemos, existen algunas zonas en las calles donde para poder estacionar el vehículo debemos sacar un ticket (previo pago de su importe) el cual nos permite dejar el coche allí por un tiempo limitado. De no hacerlo, o de sobrepasar el tiempo establecido en el ticket, nos arriesgamos a que nos imponga la correspondiente multa.

Ahora bien, bajo mi punto de vista, existe un problema de protección de datos en relación a la forma que tienen, en un primer momento, de comunicarnos estas multas: dejando un papelito en el limpia parabrisas del vehículo. ¿Por qué entiendo que estamos ante una infracción de la normativa de protección de datos? ¿Acaso en ese papel hay algún dato personal? ¿Qué artículo podría estar vulnerándose de la Ley Orgánica de Protección de Datos?. Leer más »

El R.D. 1720/2007 ya ha entrado en vigor. Para aquellos ficheros con datos personales que se crean a partir de ahora, ya deberán tener implantadas las medidas de seguridad correspondientes.

Para los ficheros ya existentes todavía existe un periodo de tiempo para su adaptación.

No obstante recordemos que el R.D. 1720/2007 no sólo establece un régimen de medidas de seguridad para los ficheros con datos personales, sino que nos encontramos ante un auténtico desarrollo reglamentario de la Ley Orgánica de Protección de Datos por lo que las consecuencias de la entrada en vigor de esta normativa se extienden más allá de las meras consideraciones sobre seguridad de datos.

Hace un par de semanas tuve ocasión de visitar las instalaciones en Madrid de la conocida productora de televisión Globomedia (responsable de espacios televisivos como “Aída”, “El Internado” o “Sé lo que hicisteis…”).
Lo hice en calidad de particular, sin fines profesionales, pero no pude evitar diagnosticar, in situ, su situación en materia de protección de datos.

En total pude comprobar 6 infracciones en esta materia, más 3 que se pueden comprobar desde cualquier ordenador con conexión a Internet. Además, tuve ocasión de recoger en fotografías algunas de las infracciones más graves.

La suma total de esas infracciones podría llegar hasta 1.260.000 euros en multas.

Si quieres conocer cuales son estas infracciones y ver algunas en fotografías, haz clic en Leer más »

El sancionado utilizó un subdominio del popular proveedor www.iespana.es para crear una página donde publicó los nombres, apellidos y direcciones de los afiliados a Izquierda Unida de una localidad andaluza, con el título “Los Comunistas de…”.

La existencia de esa web fue comunicada por un afectado al Defensor del Pueblo Andaluz quien puso los hechos en conocimiento del Juzgado de Primera Instancia e Instrucción correspondiente y de la Agencia Española de Protección de Datos.

Esta Resolución tiene dos puntos interesantes: primero porque se observa la cautela del sancionado en no ser descubierto, ya que utilizó un proxy para acceder al subdominio y subir la información sensible, aunque finalmente pudo ser cazado por un descuido (gracias a los inspectores de la AEPD). Y segundo porque en la propia Resolución se menciona que el Juzgado de Instrucción procede al sobreseimiento y archiva el caso, mientras que la AEPD sí que termina en sancionar.

Si quieres saber como cazaron al infractor a pesar de ocultar su IP utilizando un proxy y los detalles de la Resolución, haz clic en Leer más »

Posiblemente estemos ante la primera multa a una empresa por no disponer de Documento de Seguridad al ser requerido por la Agencia Española de Protección de Datos. En ocasiones se tiene la falsa creencia de que esto de cumplir con la protección de datos es poner un par de cláusulas aquí y allá e inscribir unos ficheros en noseque registro.

Nada más lejos de la realidad. El objetivo de la Ley Orgánica de Protección de Datos es precisamente ese, proteger los datos personales de los interesados o afectados, por tanto, medidas como incluir unas cláusulas o inscribir unos ficheros, realmente no persiguen esa finalidad protectora, aunque legalmente sea necesario hacerlo.

Es el Documento de Seguridad el instrumento que articula los mecanismos de seguridad que una determinada entidad ha decidido adoptar, respetando siempre los mínimos legales, pero permitiendo ampliar los sistemas de seguridad hasta donde estime oportuno.

A cierta Clínica y a cierto Hospital se les olvidó este pequeño detalle; redactar un Documento de Seguridad no es especialmente complejo, aunque sin duda es más que recomendable la intervención de especialistas en temas de protección de datos para contemplar y estudiar cada supuesto concreto.

En el caso expuesto, veremos como, extrañamente, ni la Clínica ni el Hospital facilitaron el Documento de Seguridad a la Agencia Española de Protección de Datos cuando le fue requerido, lo que, en el momento de la apertura del procedimiento sancionador le iba a costar entre 60.000 y 300.000 euros, aunque finalmente se lo dejaron en 6000 euros.

Para seguir leyendo haz clic en Leer más »

Este es uno de los casos en los que la Agencia Española de Protección de Datos actua de oficio. En agosto de 2005 apareció en algunos medios de comunicación la noticia sobre la existencia de cientos de cajas amontonadas con historiales clínicos en un campo de fútbol en desuso en la localidad gaditana de San Fernando.
De ahí se trasladaron a las dependencias del Hospital Naval de San Carlos pero en el exterior de sus locales, estando a la intemperie y además la entrada al recinto a través del acceso peatonal no se encontraba restringido.

Las historias clínicas, cuyo origen era del Hospital Militar de Sevilla, estuvieron apiladas en 380 palés y simplemente protegidas por una valla metálica desmontable.

Estos hechos fueron suficientes para que la AEPD iniciara la investigación oportuna con el objeto de esclarecer si los hechos descritos podrían ser constitutivos de infracción de la Ley Orgánica de Protección de Datos, y que ha terminado por resolver hace unas semanas.

Para conocer los detalles sobre el caso, así como la resolución de la AEPD haz clic en Leer más »

A más de uno le habrá pasado que se ha encontrado su coche o motocicleta con algún desperfecto después de estar estacionado en un aparcamiento privado.

Por lo general, los aparcamientos privados suelen disponer de un sistema de circuito cerrado de televisión, donde graban el interior del aparcamiento por motivos de seguridad.

Desde la aparición de la Instrucción 1/2006 sobre video vigilancia de la Agencia Española de Protección de Datos es cada vez más frecuentes encontrar carteles como este, donde podemos leer la dirección de la empresa responsable a la cual podemos dirigirnos para ejercer nuestros derechos, que son el acceso, rectificación, cancelación y oposición.

El que nos interesa en este caso es el de “acceso“; la empresa responsable de las videograbaciones nos informa donde debemos dirigirnos si queremos ejercer nuestro derecho de acceso, pero ¿qué significa exactamente ejercer el derecho de acceso? ¿Implica acceder al contenido de las grabaciones?. Por tanto ¿podemos exigir a la empresa una copia de la grabación para identificar al vehículo o usuario que nos haya producido los daños?.

Para seguir leyendo haz clic en Leer más »

Han pasado más de dos meses desde que explicamos cómo podiamos evitar de forma legal las llamadas publicitarias de algún teleoperador (en mi caso ya.com).
Como era de esperar, no he obtenido ninguna respuesta por parte de ya.com a nuestro escrito solicitando que cesen las constantes llamadas a mi domicilio.
Y como era de esperar también, las pesadas llamadas tampoco han cesado.

Llegados a este punto, y habiéndose cumplido los plazos legales para que ya.com ejecute nuestro escrito, vamos a continuar con el procedimiento establecido, con el objetivo, recordemos, de evitar que ya.com siga molestándonos con sus llamadas comerciales.

Con este escrito solicitamos que dejasen de llamarnos por teléfono (derecho de oposición) y además les solicitábamos formalmente que nos indicasen de dónde han obtenido nuestros datos  (derecho de acceso).
Pues bien, como no nos han hecho ni caso, procede solicitar a la Agencia Española de Protección de Datos que nos tutele, y que requiera a ya.com para que tenga en consideración nuestras pretensiones.

Para seguir leyendo haz clic en Leer más »

El Observatorio de INTECO ha invitado a algunos que profesionalmente nos dedicamos al estudio de las TIC y su relación directa con la seguridad a escribir en su recién creado blog. En él podrás encontrar opiniones y comentarios sobre diversas cuestiones relacionadas con la seguridad de la información: tecnología, malware, fraude, protección de datos, etc… así como referencias a noticias, artículos de opinión, estudios y legislación en este campo. Todo ello con un carácter fresco y dinámico.

En el entorno actual donde los cambios se suceden a velocidad de vértigo y donde el mañana se convierte demasiado rápido en ayer, INTECO ha considerado oportuno abrir un canal de comunicación que permita dar voz a todos, profesionales, expertos, usuarios, entendidos y curiosos, un medio que supere el tradicional modo de comunicación unidireccional y abra discusiones y debates a todo el mundo.

Me gustaría invitarte, desde aquí a que consultes el Blog sobre seguridad de la información y dejes tus comentarios o sugerencias. Tu aportación enriquecerá el debate, seguro.

Desde el año 1999 la IP se considera dato personal; en síntesis esto quiere decir que la IP de un ordenador identifica o hace identificable a alguien, y ese alguien se presume que es el que está detrás de esa IP, de ese ordenador.

Por tanto, si alguien cometiera alguna infracción en Internet y tuviéramos su IP podríamos identificar al autor directamente, ya que como hemos dicho, la IP es un dato de carácter personal y si a alguien tiene que identificar es al que esté haciendo uso de esa IP.

Mucho se ha hablado sobre este tema, pero hasta ahora pocos han sido los que han abordado el asunto con cierta perspectiva práctica. Así, ¿que sucedería si alguien presenta la IP de un ordenador como prueba en un proceso para imputar una infracción a una determinada persona?.

En el caso real que vamos a examinar, al denunciado se le imputa una infracción del artículo 10 de la Ley Orgánica de Protección de Datos (deber de secreto) por publicar en un foro de Internet documentación confidencial del departamento de recursos humanos de una conocida empresa informática; el denunciado tenía acceso a esa información porque trabajaba en ese departamento, aunque en el momento de la denuncia ya era un ex-empleado. Como principal prueba, el denunciante presentará la dirección IP. Para seguir leyendo haz clic en Leer más »