Tag Archives: LOPD

La AEPD archiva la denuncia de Facua contra Facebook por los mensajes privados

La asociación FACUA denunció ante la Agencia Española de Protección de Datos la supuesta aparición pública, para todos los usuarios, de mensajes privados intercambiados por usuarios de Facebook.
En el blog «Descargas Legales» dejo algunas reflexiones sobre el caso:
– La celeridad con que se ha abierto y cerrado el procedimiento.
– La respuesta realizada por Facebook Ireland a un requerimiento realizado a la filial española.
– La diferente percepción de la privacidad que vamos teniendo los usuarios de las redes sociales, aunque todavía insuficiente.

Aumento de denuncias y sanciones de Protección de Datos en Castilla y León

Memoria-AEPD-2011

De la recientemente publicada Memoria de 2011 de la Agencia Española de Protección de Datos, se pueden extraer datos numéricos por territorios. En Castilla y León el crecimiento de denuncias, tutelas de derechos, sanciones y ficheros inscritos ha sido significativo. Europa Press en Castilla y León se ha hecho eco de un estudio propio que comenta estas cifras.

Aunque porcentualmente el incremento es sustancial, lo cierto es que los números totales no son muy altos. Hay mayor concienciación por parte de los ciudadanos, es cierto, y por eso crecen las denuncias y los procedimientos de tutelas de derechos, pero la inscripción de ficheros, obligación básica para toda empresa o profesional, sigue siendo relativamente escasa, lo cual nos da un indicio de que el resto de obligaciones que recoge la normativa no se cumplen correctamente.

Fotografías y vídeos de alumnos menores de edad en los colegios

Tras muchos años asesorando a un buen número de centros educativos en materia de protección de datos, uno de los asuntos que más consultas origina, y cada vez más, es el de la imagen de los menores. La generalización del uso de redes sociales y servicios como You Tube ha incrementado la preocupación de los colegios y aumentado el número de problemas. 

En Descargas Legales comento qué se puede hacer ante una situación muy habitual, la que se produce cuando los padres de un alumno no dan su consentimiento para que la imagen de su hijo sea captada durante la celebración de una actuación, con público, dentro del colegio. 

Cumplimiento de la LOPD en Castilla y León

A raíz de un estudio que concluía que el cumplimiento de la LOPD en Castilla y León sigue siendo muy pequeño, los informativos de Castilla y León Televisión contaron conmigo para comentar la noticia. Hablamos, entre otras cosas, de qué se debe hacer al recoger datos, de la ventajas del cumplimiento de la normativa sobre protección de datos y de la privacidad en las redes sociales.

Tercer comunicado de la Fundación Tripartita sobre la aplicación de créditos formativos para consultoría LOPD

A raíz de lo comentado aquí hace tres días en nuestro último post, gracias a los muchos compañeros que escribieron lo mismo o entradas similares en sus respectivos blogs, y a la carta abierta publicada por la APEP, la Fundación Tripartita ha emitido el tercer comunicado al respecto de la utilización de créditos formativos para la prestación de servicios de consultoría en materia de protección de datos, lo que se conoce popularmente como «LOPD a coste cero».

En su comunicado, la Fundación Tripartita recuerda que «el crédito anual del que disponen las empresas está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores«.  Además advierte de que «las empresas que se bonifiquen por la contratación de servicios de consultoría (LOPD, LPR, etc.) deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social».

Por último, informan de que como consecuencia de los procesos de comprobación realizados, «las actuaciones realizadas por el Servicio Público de Empleo Estatal han dado lugar a la imposición de sanciones«.

Algunos de los comentarios escritos por compañeros al respecto (si falta alguno, por favor, indicádmelo en los comentarios):
http://www.toito.es/actualidad/?p=1180

Edito para añadir que el desconocimiento que alega la Fundación Tripartita sobre el convenio en cuestión ya ha sido resuelto, dado que le ha sido remitido por varios compañeros. Dado que ya lo tienen, supongo que tendrán algo que decir.

Administraciones Públicas que colaboran en la utilización fraudulenta de créditos formativos

Leo que la Federación de Municipios y Provincias de Castilla-La Mancha (FEMP-CLM) ha firmado un convenio para «implantar la normativa sobre la Ley de Protección de Datos en la totalidad de las corporaciones locales de Castilla-La Mancha». Además podrán beneficiarse del convenio también «los proveedores de las administraciones locales de la región también podrán verse beneficiados, ya que la práctica totalidad de los mismos podrán adaptarse también a la LOPD sin coste para sus empresas, al ser dicha actuación subvencionable a través de la Fundación Tripartita«.

Se está diciendo claramente que los créditos formativos para los trabajadores se utilizarán para la prestación de servicios de adecuación a la normativa sobre protección de datos. Tal y como ha advertido en dos ocasiones la Fundación Tripartita (en 2010 y 2012), el crédito 
«está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores», con lo que utilizarlo para otras cosas «puede llegar a ser constitutivo de fraude». Además «las actuaciones realizadas por el Servicio Público de Empleo Estatal han dado lugar, en ocasiones, a la imposición de sanciones a las empresas ofertantes de los citados servicios de protección de datos de carácter personal, así como a la devolución de las bonificaciones practicadas en materia de formación en el empleo por parte de las empresas. Sin perjuicio de ello, podrá darse traslado de los hechos constatados y de las evidencias obtenidas tanto a la Inspección de Trabajo y Seguridad Social, como a los órganos administrativos pertinentes en materia de Defensa de la Competencia».


El caso es especialmente sangrante, puesto que según cuenta la noticia se bonificará a las entidades «si estas participan en el proceso de forma activa mediante la comunicación a sus proveedores de la necesidad de cumplir la LOPD». Es decir, no sólo se colabora en la utilización ilícita de fondos de formación para los trabajadores, sino que la propia administración tiene la desfachatez de actuar como comercial de una entidad privada que realiza estas actuaciones.
Así, mientras un gran número de profesionales del sector nos dedicamos a prestar servicios de calidad a nuestros clientes, con el objeto de cumplir correctamente con la Ley y ayudar a las empresas, una administración pública se dedica a firmar convenios para detraer fondos del derecho que tienen los trabajadores a su formación, puesto que se utilizarán créditos para pagar servicios que no son formativos. Enhorabuena a la FEMP-CLM por esta ejemplar actuación.
Este post se publica totalmente libre de derechos, eres libre de utilizar la obra sin ningún tipo de restricción.

Taller APEP sobre «Cloud Computing»

Ayer se celebró en Madrid un Taller Práctico sobre Protección de Datos Personales en el «Cloud Computing», uno de los temas de moda en materia de protección de datos, organizado por la Asociación Profesional Española de Privacidad (APEP). El objetivo de la jornada era que facilitar que se pueda «discriminar, entre las distintas ofertas de servicios, aquellas que se ajusten a los requerimientos de la LOPD, así como a las prácticas técnicas, organizativas y legales que se encuadran en esta concreta materia».

Manuel García Sánchez, de la Agencia Española de Protección de Datos, explicó las características esenciales del Cloud, así como los factores de impulso, las barreras para su adopción y los riesgos asociados, incidiendo en uno de los problemas fundamentales: la deslocalización. Manuel recomendó que la adopción de servicios de computación en nube se haga de forma gradual y planificada, analizando los riesgos que se asumen al elegir un determinado proveedor. Recordó que la responsabilidad del responsable del fichero no decae por su falta de poder negociador respecto del proveedor: siempre es necesario contar con el contrato que exige el artículo 12 de la LOPD y que el proveedor aplique las medidas de seguridad necesarias.

Jesús Rubí, Adjunto a la Dirección de la AEPD, nos recordó la intervención que ya realizó en la Sesión Anual Abierta de la AEPD de este año, insistiendo sobre las obligaciones de diligencia que son exigibles tanto para el responsable como para el encargado del tratamiento. 

Con el objeto de cumplir con la obligación establecida en el artículo 20.3 del Reglamento de Desarrollo de la LOPD, Rubí explicó que la Agencia considera cumplido este requisito si el proveedor facilita al responsable documentación que acredite la realización de una auditoría, externa e independiente, sobre el cumplimiento de las medidas de seguridad.

Por último, Leandro Núñez, compañero de la APEP, abordó los problemas derivados de las transferencias internacionales de datos, tan habituales en la contratación de servicios de cloud computing. Desde una perspectiva práctica, analizó las distintas posibilidades: cláusulas contractuales tipo, Binding Corporate Rules, Puerto Seguro, etc. La conclusión principal es que en la práctica se presentan muchos problemas y es necesario un trabajo exigente para cumplir con las obligaciones que establece la LOPD y, en muchos casos, la autorización del Director de la Agencia.

La Generalitat pide ayuda a los ciudadanos para identificar sospechosos

La Generalitat de Catalunya ha puesto en línea una página web en la que se recogen imágenes de sospechosos de haber tomado parte en acciones violentas, con el objeto de que los ciudadanos puedan colaborar con los Mossos en su identificación.
Esta actuación ha sido objeto de crítica por un buen número de juristas, puesto que entienden que está en contra de lo dispuesto en la LOPD. Lo cierto es que, reconociendo que es un tema discutible, es más que plausible afirmar que es conforme a la normativa sobre protección de datos. Es más, no es excesivo afirmar que estamos ante una actuación ajena a la LOPD.
Mi opinión en mi blog de Lex Nova.

¿Pueden tomarse imágenes de la vía pública con cámaras de videovigilancia?

Surveillance Camera --- Image by © Royalty-Free/Corbis

El tratamiento de imágenes a través de sistemas de videovigilancia supone un tratamiento de datos de carácter personal y por tanto se encuentra sujeto a las previsiones de la LOPD. En principio la captación de imágenes de la vía pública por cámaras de videovigilancia está limitada a las Fuerzas y Cuerpos de Seguridad del Estado. No obstante, bajo determinadas circunstancias es posible captar las imágenes por parte de particulares, cuando sea imprescindible para cumplir con la finalidad de vigilancia que se pretende y sea imposible evitarlo por la ubicación de las cámaras.

Además hay que realizar un juicio de proporcionalidad y tener en cuenta una serie de circunstancias, como las que apunta la Audiencia Nacional en una sentencia reciente que comentamos en el blog «Descargas Legales«, por la cual se anula una sanción de 2500 euros a una discoteca por unas cámaras colocadas a la entrada de la fachada para controlar el acceso al local.

DISPONE: Herramienta de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública

sshot-1

La Agencia Española de Protección de Datos (AEPD) ha presentado su nueva herramienta, DISPONE, una aplicación de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública.

Con la introducción de la información que la herramienta va solicitando, que es la que exige la LOPD para la creación de ficheros de titularidad pública, se genera automáticamente el texto de la disposición que deberá ser aprobada por el órgano responsable y publicada en el boletín oficial correspondiente.

La aplicación es una buena herramienta de ayuda, pero ello no conlleva en ningún caso que se  sustituya el trabajo previo necesario para la correcta determinación del fichero y, por tanto, de la previa disposición de creación. Es decir, sigue siendo imprescindible analizar exhaustivamente todas las circunstancias que tienen trascendencia a la hora de tratar datos, desde el procedimiento de recogida, la finalidad del tratamiento, las cesiones realizadas o las medidas de seguridad necesarias.

Cualquier iniciativa de la AEPD que busque un mayor grado de cumplimiento de la normativa es de alabar y en este caso podemos imaginarnos que va especialmente dirigida al gran número de administraciones públicas, fundamentalmente pequeños ayuntamientos, que todavía no han realizado la inscripción de sus ficheros.