La Agencia Española de Protección de Datos (en adelante AEPD) ha procedido a sancionar a un médico por importe de 5.000€,sanción que deriva de la pérdida de un video se grabó el 14 de octubre de 2014, cuando la paciente afectada se sometió a una intervención quirúrgica en un hospital privado de Madrid, video que fue grabado con el fin de captar la técnica para futuros usos científicos y docentes.

En el momento en el que la paciente solicitó las imágenes grabadas al doctor, con la intención de poder contrastar opiniones de distintos facultativos sobre la operación que se le había realizado, fue cuando se encontró con una respuesta vía e-mail que ni mucho menos se esperaba, en la cual el médico le decía textualmente lo siguiente;

“Como te he comentado lamento no haber podido encontrar las imágenes de tu cirugía, pero los niños me perdieron varios pendrives y es posible que en ellos se fuera tu intervención”

Fue a partir de este momento cuando la afectada decidió denunciar al facultativo, entendiendo que este había actuado con una grave falta de diligencia y dejando en manos de la AEPD la valoración de la tipología de falta cometida, cabe en este punto traer a colación los tipos de infracciones que encontramos reguladas en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante LOPD) , dedica en concreto en su artículo 44 la regulación de los Tipos de infracciones, refiriéndose en su punto 1º a que estas pueden ser de distintos tipos dependiendo de lo acaecido en cada caso concreto:

“Las infracciones se calificarán como leves, graves o muy graves”

Respecto a esto, la AEPD determinó en el Acuerdo de Inicio del expediente sancionador que los hechos enjuiciados fueron calificados como una infracción del artículo 9.1 LOPD:

“El responsable del fichero, y, en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”

Se hace en relación con el artículo 102 del RLOPD 1720/2007, sobre las copias de respaldo y recuperación. Ampliándose con el artículo 106 del RLOPD sobre los criterios de archivo, que dice deberán, entre otras cosas, posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
Esto supone una infracción grave, como ya hemos adelantado anteriormente en referencia a la LOPD, y que trae aparejadas consigo multas que van de los 40.001 a los 300.000 euros.

Para intentar evitar esta sanción el médico formuló una serie de alegaciones, entre las cuales nos gustaría destacar las siguientes:

Publicado en Blog

 

Para finalizar el estudio y análisis de la guía publicada por la Agencia Española de Protección de Datos (en adelante AEPD) el pasado mes de junio sobre el uso de videocámaras para seguridad y otras finalidades, en el presente artículo vamos a proceder a comentar las dos últimas cuestiones que aborda la AEPD en relación al tratamiento de imágenes a través de las tecnologías emergentes, mediante las denominadas cámaras “on board” y mediante el uso de drones; así como aquellos supuestos donde, a pesar de producirse un tratamiento de imágenes, la normativa de protección de datos no sería de aplicación.

Respecto del tratamiento de imágenes a través de las tecnologías emergentes, se procede a un breve análisis de los tratamientos de las cámaras “On board” y del uso de drones, remitiendo la Guía a una serie de informes jurídicos que permiten ampliar la información de ambos supuestos.

  • Las llamadas cámaras on “board”, son aquellas que se encuentran instaladas en el interior de los vehículos, o bien en el casco del conductor, y cuya finalidad reside en ir grabando el recorrido realizado. Señala la guía una serie de supuestos a los que debemos atender:

    - Cuando éstas se utilizan con finalidades domésticas, se encontrarían excluidas del ámbito de aplicación del Reglamento General de Protección de Datos (en adelante RGPD), salvo que tales grabaciones fueran difundidas en las redes sociales, supuesto donde el Reglamento pasaría a ser de plena aplicación.

    - La Guía hace una especial mención a las grabaciones y captaciones de imágenes en el exterior de los vehículos cuando la finalidad sea la obtención de algún tipo de prueba, a fin de denunciar alguna posible infracción de tráfico. El informe jurídico que se recoge en la Guía da respuesta a esta cuestión, planteando asimismo si tales tratamientos serían o no conformes al RGPD.
    Los sistemas de videovigilancia, al considerarse un tratamiento de datos personales en virtud de los artículos 1.1 y 1.2 del RGPD, han de contar con una fuente de legitimación que ampare dicho tratamiento, previa realización de un juicio de ponderación en aras de determinar qué derecho ha de prevalecer sobre el otro. El interés legítimo, recogido en el art. 6 apartado f) RGPD podría operar siempre y cuando traiga cobertura del derecho de la tutela judicial efectiva.
    Si bien es cierto que la LO 4/1994, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de seguridad en lugares públicos les atribuye competencia exclusiva para la instalación de videocámaras en lugares públicos, podría legitimarse dicho tratamiento de captación de imágenes siempre y cuando se garanticen los principios de limitación y minimización de datos, recogidos en el RGPD. en virtud del art. 5 RGPD .

A pesar de encontrarse dicho tratamiento amparado por el principio de la tutela judicial efectiva, debemos puntualizar que este derecho ha de concretarse de algún modo. El informe de la AEPD de 13 de abril de 2015 expone algunos supuestos :

Publicado en Blog
Martes, 24 Abril 2018 08:18

Guía práctica de análisis de riesgos.

Continuando con el estudio de las guías que, con el fin de ayudar a las entidades públicas y privadas a adaptarse al nuevo Reglamento Europeo de protección de datos (en adelante, RGPD), ha ido publicando la Agencia Española de Protección de Datos (en adelante, AEPD), en el presente artículo abordaremos el estudio de la Guía Práctica de Análisis de Riesgos (en adelante, la Guía).

La plena exigibilidad del RGPD, a partir del próximo 25 de mayo de 2018, hará que responsables y encargados de tratamiento estén obligados a cumplir con todos aquellos requerimientos que esta normativa recoge, entre ellos la necesidad de llevar a cabo un análisis de riesgos. En aras de poder ofrecer las directrices y orientaciones necesarias que permitan cumplir con esta necesidad, publicó, el pasado 28 de febrero la AEPD la guía que ahora analizamos.

Hemos de partir de la base de que todo tratamiento de datos de carácter personal nace expuesto a determinados riesgos con impacto en la protección de datos. Así, el análisis de riesgos es una herramienta que permite realizar una valoración objetiva de los mismos, y las posibles medidas de seguridad y control que podemos aplicar para mitigar los riesgos resultantes y, en consecuencia, garantizar los derechos y libertades de los interesados.

Tal y como refleja la Guía, la gestión de los riesgos es un procedimiento implementado desde hace tiempo y con eficacia demostrada a la hora de identificar y mitigar los daños o riesgos a los que las entidades están expuestas. Sin embargo, el RGPD otorga un nuevo enfoque a esta gestión, centrando la atención en los riesgos que puede suponer una actividad de tratamiento y hasta qué punto la misma, por sus características y el tipo de datos a los que se refiere, puede tener un impacto negativo en los derechos y libertades de los interesados.

La Guía divide este proceso de gestión de riesgos en tres etapas:

Publicado en Blog

Recientemente, una de las autoridades de control de protección de datos en España, la Autoridad Catalana de Protección de Datos (en adelante ACPD), se ha pronunciado, a través de una resolución a su procedimiento sancionador 22/2017, poniendo en jaque una práctica altamente extendida en nuestra sociedad: la anotación de contraseñas de acceso a nuestra información, en un soporte físico a la vista de terceros.

En una era de los medios digitales como la actual, en la cual las contraseñas de acceso a la información almacenada en nuestros ordenadores, correos electrónicos y otros servicios, configuran nuestro llavero virtual y cuando la confianza en nuestra memoria entra en juego, ¿quién no ha optado, en alguna ocasión, por un “cómodo” almacenamiento escrito de las contraseñas en aras de evitar hacer uso del molesto “¿Ha olvidado su contraseña?”.

Por todos es sabido que este método de almacenamiento de las contraseñas no es el más adecuado en lo que a seguridad de los datos de carácter personal se refiere. Sin embargo, la ACPD va un paso más allá, al considerar que esta práctica supone un acto de vulneración de una de las medidas de seguridad contempladas en el Título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de datos (en adelante, RDLOPD y LOPD).

En concreto, supondría la vulneración de la medida de seguridad prevista en el capítulo III, artículo 93.3 del RDLOPD: “Identificación y autenticación” que se pronuncia en los siguientes términos: "3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas, debe haber un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad

Publicado en Blog

El pasado 27 de noviembre, la Agencia Española de Protección de Datos ha publicado un documento que recoge las principales medidas que las Administraciones Locales (AALL) deben poner en marcha antes del 25 de mayo de 2018, fecha en que será aplicable el Reglamento General de Protección de Datos (RGPD).

Como las AALL actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de muchas de sus actividades, se van a ver afectadas por las previsiones del nuevo RGPD, surgiendo una serie de necesidades, tales como:

Identificar las finalidades y la base jurídica de los tratamientos que llevan a cabo.

En la actividad de las AALL será muy habitual que la base jurídica sea el cumplimiento de una tarea en interés público o el ejercicio de poderes públicos. Este tratamiento debe estar justificado en una norma con rango de ley formal.

En los casos en que se traten datos de especial protección (sobre salud, ideología, religión, etc.), sólo podrá llevarse a cabo el tratamiento para satisfacer un interés público esencial.

En los casos en que la base jurídica sea el consentimiento, éste deberá ser informado, libre, específico y otorgado por los interesados mediante manifestación de consentimiento o una clara acción afirmativa.

Los consentimientos “tácitos” dejan de ser válidos, incluso para tratamientos ya iniciados.

Adecuar la información que se ofrece a los interesados cuando se recogen sus datos.

Hay que proporcionar una información más amplia, concisa, transparente, inteligible y de fácil acceso, y además el RGPD introduce nuevos derechos, de los cuales el que más puede ejercerse en el ámbito de las AALL es el de limitación del tratamiento, que supone que debe suspenderse cuando los interesados soliciten la rectificación o supresión de sus datos hasta que el responsable decida sobre la solicitud.

Hay que establecer procedimientos para responder a los ejercicios de derechos en los plazos previstos.

Publicado en Blog
Martes, 31 Enero 2017 12:07

Medidas de seguridad en el RGPD

A pesar de que todavía nos pueda parecer que para mayo 2018 falta “mucho” tiempo, (fecha de aplicación RGPD), debemos empezar a pensar ya en “modo” Reglamento, ya que consideramos que es algo imprescindible si queremos que la adaptación al mismo, se haga de forma gradual y efectiva.

En el artículo de hoy os hablaremos del tipo de medidas de seguridad que a tenor del RGPD se deben implementar.

En el Título VIII del actual RDLOPD 1720/2007 se determinan con detalle y de forma exhaustiva las medidas de seguridad que deben aplicarse según el tipo de datos objeto de tratamiento.

Sin embargo, en el RGPD se establece que tanto responsables como encargados de tratamiento deberán de establecer las medidas técnicas y organizativas necesarias para garantizar un nivel adecuado de seguridad. Para ello dice el RGPD (art.32.2) que se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos. Todo ello se detectará en el análisis previo que se debe realizar.

Como se detalla en la Guía del RGPD para responsables de tratamiento publicada por la AEPD hace escasos días, todos los responsables de tratamiento deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas de seguridad deben aplicar y cómo deben hacerlo. Este análisis variará en función de:

Publicado en Blog

Terminábamos nuestro último post indicando que independientemente de la decisión final que tome una entidad al respecto de llevar a cabo la auditoría bienal obligatoria de forma interna o externa, conviene definir y aclarar en qué consiste y de qué se compone la auditoría en protección de datos, afianzando de este modo las declaraciones que hacia la AEPD al respecto:

Párrafo 2 del artículo 96 del RDLOPD 1720/2007 –

"El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas".

De este apartado podemos desgranar en al menos dos fases:

Publicado en Blog

Pocas semanas atrás, la Agencia Española de Protección de Datos emitía una nota de prensa en la que declaraba haber tenido conocimiento de que diferentes entidades estaban ofreciendo servicios para realizar auditorías de medidas de seguridad por teléfono. Como es lógico, la AEPD aclaró que una auditoría telefónica de medidas de seguridad no permite obtener los resultados establecidos en la normativa de protección de datos.

Entonces, ¿En qué consiste realmente una auditoría de medidas de seguridad?

Para responder a esta pregunta recurriremos a lo establecido en el Artículo 96 del RDLOPD 1720/2007:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título (...).

Es decir, esta medida de seguridad será de obligado cumplimiento en el momento que la empresa trate datos de nivel medio y alto claro, ya que las medidas de seguridad son de aplicación acumulativa.

Publicado en Blog

En el anterior artículo de este blog, veíamos como una de las obligaciones principales ante la existencia de acceso a datos por cuenta de terceros, es la celebración de un contrato con el contenido exigido por artículo 12 de la LOPD.

Este artículo 12 indica que "el contrato deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido".

Una casuística cada vez más habitual y que genera dudas para cumplir con los requisitos del art. 12 de la LOPD, se produce cuando la contracción de los servicios se realiza a distancia es decir, sin la presencia física simultánea del responsable del fichero y el encargado de tratamiento.

La AEPD ya ha señalado que en estos casos lo que se produce, en la mayoría de los casos,  son contratos de adhesión, constituidos por cláusulas contractuales cerradas, en las que el proveedor (el encargado de tratamiento) fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario (el responsable del fichero) tenga ninguna opción para negociar sus términos. Este caso cada vez más común, da luga a una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor). Sin embargo, y a pesar de este hecho, la Agencia Española de Protección de Datos ha indicado que es imprescindible que ese contrato incorpore, entre sus cláusulas, las garantías a las que obliga la Ley Orgánica de Protección de Datos.

¿Cómo se articula esta obligación? :

Publicado en Blog

Si en el anterior post veíamos, someramente, cómo determinar si estamos ante accesos por cuenta de terceros o una cesión de datos, hoy vamos a describir las obligaciones derivadas en cada caso:

1. Acceso a datos por cuenta de terceros:

En los casos de acceso a datos por cuenta de terceros, la Ley Orgánica de Protección de Datos nos obliga a la firma de un contrato por escrito. Para acreditar su celebración y contenido, dicho contrato deberá contener los siguientes extremos (art. 12 de la LOPD):

a. Que el encargado de tratamiento sólo realizará el tratamiento de los datos de carácter personal conforme a las instrucciones del responsable del fichero.

b. Que no utilizará ni aplicará los datos de carácter personal con fines distintos a los que figuren en contrato. Si no se cumpliese esta estipulación, la propia normativa indica que el encargado de tratamiento será considerado también responsable, respondiendo de las infracciones en que hubiera incurrido personalmente.

c. Que nos los comunicará, ni siquiera para su conservación, a otras personas. En este punto nos podemos preguntar ¿esto quiere decir que no se puede subcontratar?Para saberlo debemos recurrir al artículo 21 del RDLOPD. En resumen, el precepto establece que a priori el encargado de tratamiento no podrá subcontratar sin que el responsable del fichero se lo hubiera encomendado. Las excepciones :

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

 nuevocompliance

Somos un equipo pluridisciplinar de profesionales abogados, economistas, informáticos, auditores, especializados en la organización empresarial y el cumplimiento normativo....

sigpacnou

El Centro de Privacidad SIGPAC es un entorno de trabajo y gestión documental basado en un software desarrollado por PRODAT para la gestión de empresas ...

prodatnou

El Sello de confianza electrónica de PRODAT es especialmente de utilidad para tod@s l@s usuari@s de internet y de todos los nuevos medios electrónicos ...  

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal