La Agencia Española de Protección de Datos (AEPD) envió sus sugerencias a la Comisión Europea para que las tome en consideración de cara a la próxima revisión de la Directiva 95/46/CE, relativa a la protección de datos de las personas físicas. Algunos de los puntos más destacados son los siguientes:

• Colaboración. Mayor cooperación entre las autoridades nacionales de protección de datos, abriendo la posibilidad de que estos organismos participen en actividades de investigación y auditoría realizadas en otros estados miembros de la Unión Europea cuando los hechos que investiguen afecten a individuos bajo su tutela.

• Derecho al olvido en internet. La Agencia propuso que el marco legal comunitario establezca medidas de obligado cumplimiento para los responsables del tratamiento que permitan el borrado de la red de los datos de aquellos usuarios que así lo deseen. Entre estas medidas, sugirió la adopción de tecnologías que impidan la indexación de datos de carácter personal por motores de búsqueda y su aplicación efectiva en plazos perentorios.

• Definición de dato personal. La AEPD quiere que el concepto de “dato personal” incluya en su definición las técnicas para el tratamiento de la información que permitan singularizar a una persona o usuario. La idea es que abarque aquellas situaciones en las que se desconoce el nombre del sujeto, pero se tiene un perfil completo sobre él.

• Señales informativas. Otra de las propuestas consiste en acuñar símbolos o iconos informativos sobre el tratamiento de protección de datos, que permitan a los usuarios reconocer fácilmente las características de los tratamientos que se están llevando a cabo sobre su información personal. Se trata de una medida pensada especialmente para los menores de edad que introducen sus datos personales en internet.

Para continuar leyendo, pulse aquí.

La LOPD protege especialmente a los datos personales considerados “sensibles”, como los que hacen referencia a la salud de las personas. La AEPD planteó a los centros hospitalarios una serie de recomendaciones para lograr un mayor cumplimiento de la normativa de protección de datos, unos consejos que también puede seguir su empresa si cuenta con ficheros de datos de alto riesgo. Tres de esas recomendaciones son:

• Aplique procedimientos de disociación de la información en los tratamientos de datos que hayan sido externalizados. De esta manera, la información no podrá asociarse a una persona identificada o identificable.

• Registre todos los accesos realizados a los historiales clínicos, almacenando la información de cada uno de ellos prevista en el Reglamento de desarrollo de la LOPD durante un periodo no inferior a dos años.

• Realice auditorías para verificar si el personal autorizado utiliza los datos para la finalidad que justificó el acceso a los mismos.

►► Consejos útiles y prácticos como éstos forman parte de los contenidos que mensualmente ofrece PractiLetter PROTECCIÓN de DATOS. Suscríbase y podrá contar con toda la información que le ayudará, de forma sencilla, a cumplir con sus obligaciones: todas las novedades normativas, cómo implantar la LOPD en su empresa paso a paso, buenas prácticas, preguntas y respuestas…

Para continuar leyendo, pulse aquí.

En el número de este mes  de PractiLetter Protección de Datos podrá encontrar los siguientes temas:

Externalización de servicios: chequee su relación con los encargados del tratamiento. Su empresa, como responsable de los ficheros de los que es titular, puede externalizar o subcontratar con algún tercero (persona física o jurídica) la prestación de un servicio que requiera el acceso a datos de carácter personal por parte de éste para poder prestarle ese servicio (por ejemplo, llevar la contabilidad, gestión de nóminas, mailing, hosting…). Desde el punto de vista de la normativa de protección de datos, este tercero actúa como encargado del tratamiento, lo que significa que no se requiere el consentimiento de los titulares de los datos para permitirles el acceso a sus datos, sino que su empresa puede decidirlo libremente. Ahora bien, para que sea legal el acceso a los datos personales por parte del encargado del tratamiento, es necesario que se encuentre perfectamente regulado en un contrato. Sepa qué contrato se debe firmar, qué cláusulas debe contener éste y qué buenas prácticas debe seguir para proteger a su empresa. Suscríbase ahora a PractiLetter PROTECCIÓN de DATOS y reciba mañana mismo el ejemplar de este mes. Además, Para que compruebe lo que PractiLetter puede hacer por su empresa los 15 primeros días de suscripción son a prueba.

TS: Pautas para controlar el uso que los trabajadores hacen de internet. El Tribunal Supremo, al dictar sentencia –en unificación de doctrina- sobre el caso de un trabajador despedido por dedicar gran parte de su tiempo de trabajo a usar internet para fines personales, ha dejado claro que la empresa puede ejercer control sobre el uso que hacen los trabajadores de este medio de trabajo. Así, aunque ha declarado improcedente el despido de este trabajador en concreto, ha sentado las bases para poder controlar legalmente el uso que se hace del ordenador e internet y poder sancionar los abusos.

Para continuar leyendo, pulse aquí.

Muchas empresas han tenido que poner fin a sus actividades o cerrar algunas líneas de negocio a causa de los embates de la crisis económica. ¿Significa esto que sus obligaciones en materia de protección de datos terminan? Rotundamente no. Al igual que en el inicio de actividades su empresa debió inscribir los ficheros de los datos personales que trataría (por ejemplo, de trabajadores, clientes o proveedores), ahora deberá notificar su supresión. Se trata de una gestión que puede realizar a través de la página web de la AEPD, por medio de una notificación en la que debe incluir:

* Nombre y número del fichero que suprime.
* Motivo de la supresión.
* Destino de los datos contenidos en el fichero.
* Si va a destruir el fichero, garantizar que se hará por medios seguros.

Para continuar leyendo, pulse aquí.

La Agencia Española de Protección de Datos (AEPD) inspecciona a miles de empresas cada año e impone sanciones a un buen número de ellas. Nada impide que la suya pueda ser la siguiente.

En cualquier momento, prácticamente sin avisar (pues el factor sorpresa es una baza con la que juegan en la AEPD), un inspector puede presentarse en la puerta de su empresa dispuesto a rebuscar entre sus documentos, acceder a las bases de datos, hacer copias de lo que considere oportuno, revisar los lugares en los que se encuentran los ficheros, solicitarle modelos de escritos y pedirle un sinfín de pruebas más que considere convenientes. Y todo ello sin decirle exactamente qué es lo que busca ni por qué le están inspeccionando. ¿Sabría cómo actuar?

En PractiLetter PROTECCIÓN de DATOS hemos preparado una guía única para enfrentarse a una inspección de protección de datos. Concisa, clara y llena de consejos, de los que le avanzamos un par de ellos:

· NO PIERDA NI UN MINUTO. Desde que su empresa recibe el aviso de la AEPD indicando que va a visitar su empresa hasta que se presentan los inspectores dispone de muy poco tiempo, apenas unas horas. Debe aprovecharlas al máximo para enfrentarse a la inspección en las mejores condiciones. No le han dicho quién es el denunciante ni la razón de la visita (es decir, qué posible infracción ha podido cometer su empresa) pero quizá pueda intuirlo. ¿Han tenido alguna queja previa de algún cliente o de algún empleado? Intente identificar la posible infracción para preparar su “defensa”. Revise todos los procedimientos relacionados con la protección de datos con que cuenten en su empresa, asegúrese de que tienen el documento de seguridad y que éste está actualizado (probablemente se lo pedirán), habilite un espacio y los medios técnicos necesarios que permitan al inspector acceder a las bases de datos sin entorpecer la actividad normal de su empresa. Si no tienen inscritos todos los ficheros que deberían tener, hágalo urgentemente. Utilice la vía telemática para que queden registrados antes de que aparezca el inspector.

· PRESENCIA DEL TÉCNICO INFORMÁTICO. Los inspectores no exigen que esté presente un técnico informático en la inspección, sino tan sólo el responsable del fichero. Pero dado que van a acceder a su sistema informático y a sus archivos de datos, quizá a usted le convenga que el técnico les vaya guiando y facilitando su trabajo en lugar de que el inspector tenga que investigar por su cuenta, entrar en archivos a los que no pretendía acceder, etc.

Para continuar leyendo, pulse aquí.

Las relaciones laborales son una excepción a la regla del consentimiento, que es la piedra angular de la normativa de protección de datos personales. Eso significa que su empresa no necesita el consentimiento de sus trabajadores para tratar sus datos personales (puesto que se deriva del propio contrato de trabajo), siempre que ese tratamiento sea necesario para articular la relación laboral y los datos que vayan a tratarse sean los imprescindibles y necesarios para llevar a cabo esa relación laboral (es decir, nombre y apellidos, dirección, NIF, etc.). Sin embargo, su empresa sí está obligada a cumplir con su deber de informar al trabajador (art. 5 de la LOPD), lo que deberá llevar a cabo al formalizar la relación laboral. Tome nota de los siguientes consejos para redactar el documento que acredite que sus empleados han sido debidamente informados:

* Titule el documento como “Información sobre el tratamiento de datos personales de los empleados”. Es una fórmula más correcta que, por ejemplo, “Autorización del trabajador” o “Consentimiento del trabajador”, porque no se trata de solicitar su consentimiento, sino de informarles sobre el tratamiento que recibirán sus datos personales.

* No dé información excesiva en la cláusula y limítese a informarle de los puntos a los que le obliga el art. 5 de la LOPD. Dar más información que la necesaria puede generar confusión y, a la larga, ser contraproducente.

* Una vez que su empleado haya firmado el documento, consérvelo tanto en papel como digitalizado. Ésta será la prueba de que ha cumplido con su obligación.

Para continuar leyendo, pulse aquí.

El doble opt-in es un sistema que permite obtener el consentimiento de un usuario por partida doble. Este sistema no es obligatorio legalmente ante todo tipo de datos personales, pero sí muy recomendable tanto desde un punto de vista de marketing como de protección de datos personales. Y este sistema se convierte en obligatorio si para lo que los usuarios deben dar su consentimiento es materia sensible, como lo sería darse de alta en una web de contactos entre homosexuales. Y si no que se lo cuenten a un usuario que fue dado de alta por un tercero en un portal de contactos suplantando su identidad- o al propio portal, al que se ha impuesto una multa de 90.000 euros.

Un funcionario público bautizado por la Agencia Española de Protección de Datos (AEPD) como AAA para proteger su identidad, se dirigió a ésta para denunciar su caso tras haberlo intentado solucionar infructuosamente con el portal web implicado. Resulta que un día recibió en su cuenta de correo profesional un mensaje de e-mail en el que le comunicaban que su perfil había sido validado en una web de contactos homosexuales, por lo que a partir de ese momento su ficha aparecería en las búsquedas que realizaran otros usuarios y sería mucho más visible para todos.

Efectivamente, al poco tiempo comenzaron a llegarle a su buzón de e-mail mensajes de otros usuarios de la web que querían entrar en contacto con él. Había sido dado de alta con su nombre, apellidos y fotografía y en su perfil personal se incluían detalles respecto a su profesión, fecha de nacimiento y estado civil, si bebía o fumaba, si ya había salido del armario y otros detalles como si tenía o no vello corporal, sus lugares de “ligue” y cuáles eran sus preferencias de contacto.

Para continuar leyendo, pulse aquí.

¿Sabe cuántas contraseñas informáticas utilizan la fecha de nacimiento, el nombre de un hijo del usuario o simplemente son “123456”? Miles, millones de ellas. Como bien saben los hackers, son algunas de las más socorridas a la hora de elegir contraseñas y, por lo tanto, más fáciles de averiguar. Por ello, conviene que dé a sus trabajadores algunas pautas para que escojan contraseñas seguras, que impidan que usuarios no autorizados puedan acceder a sus equipos. Éstas son algunas de ellas:

• Evitar palabras que aparezcan en el diccionario.

• Que tengan al menos ocho caracteres.

• No emplear sólo letras o sólo números, sino combinar letras y números e incluso incluir símbolos y mayúsculas y minúsculas.

• Que la “contraseña” sea distinta del “usuario”.

• No utilizar como contraseña el propio nombre o apellidos ni los nombres de los hijos ni de la mascota.

• No utilizar el número del NIF, la matrícula del coche ni otras numeraciones íntimamente relacionadas con uno mismo y de conocimiento público.

Y además:

Para continuar leyendo, pulse aquí.

Si hay alguien que despierta más temores que simpatías, ésos son los inspectores de Hacienda. El estereotipo los dibuja grises, serios e implacables, y además la ley les ha dotado de amplios poderes. En sus actuaciones pueden examinar documentos, libros, contabilidades, facturas, justificantes, correspondencia, ordenadores, propiedades… ¿y pueden analizar historias clínicas? Los límites que no les pone la normativa tributaria se los ha venido a poner la de protección de datos personales. Lea a continuación lo que ha dicho al respecto la Agencia Española de Protección de Datos:

Cuando un inspector de Hacienda esté investigando a un profesional médico y le solicite, en el marco de la investigación, la historia clínica de sus pacientes y sus pruebas clínicas, puede negarse a facilitarlas. Es más, no sólo “puede”, sino que “debe” oponerse a facilitar esa información.

Por un lado, y según impone la normativa fiscal, las personas físicas o jurídicas están obligadas a proporcionar a la Administración tributaria “toda clase de datos, informes, antecedentes y justificantes con trascendencia tributaria relacionados con el cumplimientos de sus obligaciones tributarias” (art. 93.1 de la Ley General Tributaria). Además, los inspectores realizan su trabajo mediante el examen de documentos, libros, contabilidad, ficheros, facturas, justificantes, correspondencia, bases de datos, programas, registros y archivos informáticos, inspección de bienes, etc. (art. 146 de la misma ley).

Desde esa libertad que tienen los inspectores para mirar y remirar Siga leyendo…

La mayoría de las brechas en seguridad en materia de protección de datos se producen por fallos humanos del personal de las empresas y organizaciones responsables de ficheros (el 80% de los casos, según los expertos). Por eso es tan importante que los empleados, especialmente los que manejan datos personales de clientes o están en contacto con ellos, estén bien formados e implicados en la protección de datos, que conozcan sus obligaciones y hasta dónde llegan los derechos de los clientes.

Le proponemos un test muy sencillo para que ponga a prueba a su personal. Una sola pregunta contestada de forma negativa indicaría que no conocen bien los protocolos de actuación en su empresa (o que éstos no están bien desarrollados o implantados):

1. Cuando solicitan a un cliente sus datos personales, ¿saben que sólo tienen que pedirle los datos necesarios para la finalidad de la que se trate (y no más)?
2. Cuando un cliente comunica un cambio de dirección o teléfono o un cambio en sus preferencias de marketing (por ejemplo, darle de baja en determinado servicio), ¿toman nota de ello rápidamente para que no se produzcan envíos erróneos o envíos no deseados?
3. ¿Saben cómo tienen que actuar si un cliente solicita conocer la información personal que sobre él tiene la empresa (es decir, ejercer su derecho de acceso)?
4. ¿Saben qué tienen que hacer si ocurre un incidente Siga leyendo…

Las etiquetas o tags RFID (Radio Frequency Identification, es decir, identificación por radiofrecuencia) están por todas partes, aunque nadie las conozca por su nombre. Son esas pequeñas pegatinas que se colocan en las prendas de ropa, calzado o cualquier otro artículo para prevenir hurtos en las tiendas, porque permiten identificar y localizar cada objeto. También se usan en los controles de acceso y en documentos identificativos  y para el control de paso por peajes, entre otras utilidades. Sus microchips pueden almacenar gran cantidad de información y llevan incorporadas una emisora que transmite esa información con gran calidad y rapidez, en función de las características técnicas de cada sistema y a una distancia que puede llegar a ser de varios kilómetros. Además, permiten rastrear y localizar a la persona que lleva un objeto con la etiqueta.

Hoy día estos sistemas tienen un precio muy bajo (apenas unos céntimos cada etiqueta) y unas dimensiones pequeñísimas (de hasta 0,4 mm²), por lo que pueden usarse en casi cualquier objeto. Su uso, ya muy extendido, se prevé exponencial en los próximos años. Además –y aquí está la cuestión clave- si las etiquetas contienen información personal o pueden vincularse con ella, a este sistema se le aplica la normativa de protección de datos. La AEPD (Agencia Española de Protección de Datos) ya está alerta ante los riesgos que se avecinan para la privacidad y seguridad de los datos personales.

Por eso, si su empresa ya tiene implantado Siga leyendo…