Guía de Seguridad de Datos AEPD

Categorías: AEPD, LOPD, abogado proteccion de datos | 3 Noviembre, 2008

portada guia seguridad datos AEPDMe twittea Alonso Hurtado que la AEPD ha publicado en su Web una Guía para facilitar una correcta implantación de medidas de seguridad de los datos personales.

Sin perjuicio de un análisis más profundo, esta Guía de Seguridad de Datos responde a la necesidad expuesta en varias ocasiones por el Director de la AEPD de dar un paso más en el cuidado de la privacidad. En la Memoria 2007, ya se resaltaba la cantidad de intervenciones que ha tenido que realizar la Agencia como consecuencia de “despistes” más o menos intencionados que contenían información personal a la cual se accedía bien mediante una cuenta de una red P2P que no había sido bien bloqueada o bien en papeles en un contenedor (historias clínicas, curriculums…).

Esta Guía está dirigida tanto a entidades públicas como privadas y viene a exponer de un modo práctico las medidas de seguridad detalladas en el Reglamento de desarrollo de la AEPD. Destaca, además, un pequeño formulario de “Autoevaluación” para que las empresas evalúen si están cumpliendo debidamente con la normativa vigente en la materia.

Aún sin comentarios »

Conversación sobre Libros de Bautismo, Apostasía y Protección de Datos

Categorías: AEPD, LOPD, Privacidad, abogado proteccion de datos | 23 Octubre, 2008

A continuación, con permiso de mis dos amigos (ninguno de ellos abogado ni relacionado con la materia), transcribo un pequeño debate que surgió, vía mail, en relación a las sentencias de la Audiencia Provincial de Valencia, la posterior estimación del recurso de casación por el Tribunal Supremo y la intención de la AEPD de recurrir al Constucional. Creo que es ilustrativo de las diferentes posturas que se pueden encontrar en la calle al respecto.

XAG: “Viendo la reciente disposición de la parroquia al debate y la reflexión sobre temas más o menos de actualidad, me dispongo a abrir un nuevo tema para el que pido la opinión de todos vosotros, en especial de Joaquín, que es el que se dedica al tema…” (Copia link de la noticia)

JMR: Para los que quieran un exámen jurídico en profundidad de la sentencia recomiendo el artículo de Miguel Ángel Mata, amigo mío.
Hay fundamentos suficientes desde el punto de vista de la Ley de Protección de Datos tanto para dar la razón a unos como a otros. La AEPD, como siempre, partiendo de una ley hecha para matar moscas a cañonazos, barre para casa. En las sentencias de la Audiencia Provincial de Valencia y el Tribunal Supremo se limitan a discutir sobre meras definiciones, lo cual demuestra que la LOPD no es nada explícita.
Mi opinión es que los Libros de Bautismo son libros, generalmente ya amarillos en los que para buscar el nombre de alguien tienes que saber, al menos el mes y año de bautismo y la Iglesia en la que fue bautizado porque sino, puedes tirarte un siglo, por lo que no los considero un fichero organizado de datos, como ha dicho el TS. Os propongo si no, que alguno de vosotros intente localizar la partida de bautismo de alguno del grupo…de locos. Además, creo que aún no se ha dado el caso de que alguna Iglesia haya utilizado esos datos (que no incluyen ni dirección, ni teléfono, ni mail del bautizado o sus padres, por ejemplo), para enviar a sus casas ni siquiera la hoja parroquial o el “Hoy Domingo”… por lo que son simplemente un archivo de mera constatación del hecho del bautismo de cara a futuras “relaciones” con la Iglesia, en caso de que cada uno quiera seguir teniéndolas, es decir, continuar recibiendo sacramentos. También entran por ahí en juego los acuerdos entre el Estado y la Santa Sede, pero eso es cosa aparte.
Creo que es lícito que el que quiera apostate, de eso sólo le podrá pedir cuentas el Jefe, no la AEPD, o el párroco de turno. De ahí a que se le borre de los libros… personalmente creo que incluso para el apóstata es mejor que conste que ha decidido hacerlo, y quede reflejada su voluntad, a que se le borre como si nunca hubiera estado.

XAG: “Efectivamente es lícito que quien quiera apostatar, apostate. Como diría el otro: “faltaría más…”.

Pero yo creo (desde mi enciclopédica ignorancia sobre el tema y abogando por el diablo) que, desde el punto de vista de la protección de datos, no tiene sentido que quien quiera ejercer su derecho (constitucional, si no me equivoco) a cancelar/borrar/rectificar sus datos personales de un fichero (que como bien dices, es difícil calificar de organizado, pero que contiene sin duda datos personales) vea que su acción tiene como efecto que, no sólo sus datos personales  no son borrados, sino que además le es añadido un nuevo dato (tb personal): el propio de la apostasía.

Y sigo en representación de don Diablo: Tampoco creo que tenga sentido en los tiempos que corren que la Iglesia recurra a los “históricos privilegios” que los Concordatos (firmados en 1979 con la Santa Sede) le confieren. Creo que la Iglesia debe leer bien los signos de los tiempos si no quiere que siga creciendo el ya de por sí grande sentimiento anticlerical. Desde mi opinión, considerándome un miembro de la Iglesia Católica (aunque en habitual desacuerdo con su jerarquía) y reconociendo que una parte importante de la sociedad española (ya no me atrevería a decir que la mayoría) se considere parte de la misma, creo que el Estado no debe financiar ninguna agrupación sea ésta de la índole que quiera (aquí incluiría por supuesto a los partidos políticos, en cuya financiación todos somos legalmente paganos…). El dinero que se recaude de los impuestos que TODOS pagamos, debe revertir en acciones de las que TODOS nos beneficiemos. ¿Estaríamos de acuerdo si, un día en España la mitad de la población es musulmana, en que el Estado deba financiar al Islam? Yo tengo clara mi respuesta.

En fin, es por hablar de algo… y porque no encontraba ningun video intersante que mandar…

ECG: “Me gusta que haya salido a la luz este debate, ya que pone de manifiesto una vez más el sentimiento “revanchista” que cada día más se ve contra la Iglesia, por parte de un grueso de la izda. española moderna, bien conocida como “progre”.

Y llegado a este punto del tema, tan interesante como inútil, mi reflexión es la siguiente ¿a quién carajo le importa que en alguna perdida iglesia del mundo, en un viejo libro, escrito no probablemente a boli sino a lápiz, esté reflejado que tal día de tal año se bautizó a un niño y que ahora ese niño ya crecido no quiere pertenecer a la Santa Madre Iglesia?

Me gusta la reflexión de Joaquín, Primero ¿cómo carajo encontrar una partida bautismal hoy día? Y segundo ¿qué información da para que a alguien le preocupe? ¿es que a un apóstata le preocupa que esa partida exista? ¿es que le compromete a algo? La pertenencia a una confesión no es como afiliarse a un partido político o ser socio de un club de fútbol. No exige cuotas ni responsabilidades, más bien al contrario, la relación es simplemente personal e intransferible entre el feligrés y el de arriba.
Y dado el caso, ¿para qué gastar tanta pasta en tener un registro de las partidas bautismales cuando eso no implica absolutamente nada? ¿no es mejor dotar los recursos en algo más útil?

En resumen…. mucho aburrimiento y muchas ganas de llamar la atención…”

JMR: Como te he dicho, se puede argumentar desde ambas partes.
De hecho, las dos sentencias discuten sobre la definición de fichero para dar la razón a unos o a otros. La de la Audiencia dice que sí es un fichero y la del supremo dice que no….
En mi opinión, tanta razón tienen unos (es un archivo de datos personales al fin y al cabo), como otros (al no ser un conjunto organizado es casi imposible encontrar a una persona en concreto, en este caso el apóstata y tratar sus datos). Aunque me inclino más por la opción del Supremo, teniendo en cuenta el voto particular, el cual también me parece una buena reflexión.
En fin…

Por cierto, me dáis permiso, para colgar esta conversación cibernética en mi blog? Es interesante y refleja las opiniones de una gran mayoría al respecto… gracias!

7 comentarios »

Comparecencia del Presidente de la AEPD ante la Comisión Constitucional

Categorías: AEPD, abogado proteccion de datos | 2 Octubre, 2008

foto del Congreso de los DiputadosAyer tuve el privilegio de asistir (como prensa) a la Comisión Constitucional del Congreso de los Diputados, ante la cual presentaba la Memoria Anual el Director de la AEPD, D. Artemi Rallo.

En una primera comparecencia, el Sr. Rallo repasó los datos estadísticos que se contienen en la citada Memoria, destacando la proliferación de cámaras de videovigilancia, y puso de relevancia los ataques a la intimidad y privacidad de las personas a los que los ciudadanos están expuestos, con los avances de las nuevas tecnologías, en especial, las redes sociales y de compartición de archivos en Internet.

Igualmente, solicitó, algo que nos parecerá muy interesante a los que trabajamos en este ámbito, la inclusión en los planes de estudio de una educación reglada en materia de protección de datos.

Consideró el Presidente como “inadmisible” el abandono de documentación con datos personales en la vía pública. Por este motivo se realizaron, en 2007, alrededor de 30 inspecciones.

Tras su comparecencia, intervinieron los diputados Jordi Xuclá (CiU) quien, en una extensa intervención, destacó el buen trabajo de la Agencia y animó a su presidente a seguir en el mismo camino. Asimismo, destacó lo beneficioso de la ampliación de plantilla de la AEPD. Después, Gabriel Mato (PP) que manifestó “estar como un cañón, de salud…”, subscribió lo comentado por su antecesor en la palabra, si bien hizo incapié en la tardanza en presentar la Memoria de 2007 en el Congreso. A lo anterior, el Presidente de la Comisión, Alfonso Guerra, defendió al Director de la AEPD, explicando que la comparecencia fue solicitada en el mes de Julio. El tercero en tomar la palabra fue Juan Luis Rascón (PSOE), quien, de nuevo, felicitó al Director por la labor llevada hasta el momento y le conminó a ofrecer una información-formación más intensa a los ciudadanos.

En su turno de réplica el Director respondió a las intervenciones, destacando que, con los medios económicos y de personal que actualmente posee la Agencia no se pueden acometer campañas de información ciudadana y conminó a los presentes a valorar una partda destinada al efecto, aprobada en Sede Parlamentaria.

No me pude quedar mucho más porque tenía que ir a la Notaría a firmar unos asuntos de Abanlex, y leo hoy que me perdí la trifulca entre mi admirada Rosa Díez y el socialista Torres Mora, en la que este la acusó de hacer propuestas que hacen daño a la Democracia, por proponer, como una medida en tiempos de crisis, eliminar las subvenciones estatales que tienen los partidos políticos para realizar mailings…. en fin…

Aún sin comentarios »

I. Sistemas de denuncias internas en la empresa – Whistleblowing

Categorías: AEPD, Recomendaciones, abogado proteccion de datos | 24 Julio, 2008

¿Qué es el whistleblowing?

Los sistemas de denuncia interna en las empresas ó whistleblowing consisten en la creación de un sistema de denuncias sobre el incumplimiento, por parte de empleados de una empresa, tanto de normas internas, como de la normativa que rige su actividad. No es una práctica muy extendida en España, pero cada vez más empresas la están poniendo en marcha, especialmente las empresas cotizadas en bolsa.
La palabra inglesa whistleblower no tiene traducción literal al castellano. Lo más cercano sería algo parecido a chivato, delator, soplón institucional… términos que otorgan una connotación muy despectiva de la función que realmente se realiza. Hace referencia al toque de silbato que realiza un policía inglés cuando observa una conducta inapropiada e interpela al infractor mientras lo persigue para que sus compañeros se unan a la persecución y los transeúntes sean conscientes del peligro.
Existen dos sistemas de realizar las denuncias internas. Por un lado, un sistema que permita a todos los empleados ser denunciantes y denunciados, o bien un sistema que otorgue a una persona en concreto la responsabilidad de denunciar aquellas acciones que considere que pueden perjudicar a la empresa, empleados o cliente final. Este último sistema está muy extendido en Norteamérica.
Problema de Protección de Datos
El conflicto con la normativa de Protección de Datos estriba en que la recogida de los datos contenidos en la denuncia y el tratamiento de los mismos, mientras se desarrolla la investigación, se realizan sin el obligatorio consentimiento del afectado del artículo 6 LOPD.
Justificación
La justificación de esta ausencia de consentimiento radica en la necesidad, para el caso concreto, de este sistema para el desarrollo y mantenimiento de la relación contractual. Además, el empresario debe justificar la medida tomada atendiendo a los principios de finalidad y proporcionalidad.
La postura de la AEPD acerca de qué controles de la empresa serán adecuados queda clara en su Informe 2007-0128 en el que estipula una serie de requisitos mínimos para garantizar la salvaguarda de los derechos de los afectados. Así, es necesario que:
  1. Los empleados hayan sido previamente informados de la existencia de un sistema de denuncias, por lo que este sistema se encuentre ya incorporado normalmente a la relación contractual.
  2. El sistema de denuncias se limite a aquellas relacionadas con acciones que tengan efectiva implicación en la relación laboral. La mayoría de estas denuncias serán relativas a actividades ilegales o inmorales, aprovechamiento de la institución para lucro personal, gastos injustificados o excesivos, etc.
  3. El denunciante quede identificado. En pro de la exactitud e integridad de la denuncia, no se debe dar trámite a denuncias anónimas. Aún así, para el buen funcionamiento del sistema, es necesario garantizar la confidencialidad del denunciante, por lo que no será revelada al afectado en caso de que éste ejerza su derecho de acceso. Al quedar identificado el denunciante, se podrán tomar medidas disciplinarias cuando se den casos de denuncias falsas o malintencionadas.
  4. Se informe al denunciado, dentro del plazo de 3 meses, contados desde el momento del registro de la denuncia, de forma expresa, precisa e inequívica, por parte del responsable del fichero, del contenido del tratamiento, los destinatarios de la información y demás contenido del artículo 5.1 LOPD .
  5. Quede garantizado el tratamiento confidencial de las denuncias a través de estos sistemas hasta que se resuelvan.
  6. Se establezca un plazo máximo de conservación de los datos relacionados con las denuncias. La investigación interna no ha de extenderse más allá de lo necesario y, si esta auditoría interna derivase en un procedimiento judicial, la empresa deberá colaborar para no dilatar en demasía dicho procedimiento.
  7. El sistema de whistleblowing garantice, en todo caso, el ejercicio de los derechos reconocidos legalmente. Estos derechos van desde el de información, que se incorporará al contrato laboral, hasta los de acceso, rectificación, cancelación y oposición, pasando por la información relativa al tratamiento y finalidad de los datos.
  8. Se implanten las medidas de seguridad que correspondan al tipo de datos que contengan las denuncias, con la correspondiente notificación del tratamiento de los datos a la AEPD, a fin de obtener su inscripción en el Registro General.

Regulación

Es muy necesaria una regulación estatal de estos sistemas que garantice los derechos de todas las partes implicadas: denunciantes, denunciado y empresa. En España, el Código Unificado de la CNMV para empresas cotizadas, recomienda el establecimiento de cauces internos para la denuncia de irregularidades: “Recomendación de que las sociedades establezcan, bajo la supervisión del Comité de Auditoría, algún mecanismo que permita a los empleados denunciar de forma confidencial o, si se considera oportuno, incluso anónima las irregularidades que observen en la sociedad. El Grupo entiende que tales mecanismos se referirán principalmente al ámbito financiero y contable. Y parte de la convicción de que las sociedades que los establezcan lo harán con escrupuloso respeto de lo dispuesto en la Ley Orgánica de Protección de Datos de Carácter Personal.”

El Congreso Norteamericano aprobó en 2002 la Ley Sarbanes-Oxley (SOX), con el fin de controlar a las empresas que cotizan en bolsa para evitar que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor. Impone a las sociedades norteamericanas o extranjeras cotizadas en EEUU, así como a sus filiales en el exterior, el establecimiento de un código ético y un sistema que permita a los trabajadores denunciar anónimamente las malversaciones contables y financieras y los fraudes que puedan conocer. Esta ley fue la respuesta del gobierno americano a escándalos como el Caso Enron o el caso Tyco International. La Whistleblowers Protection Act de 1989, sienta las bases de los derechos de los “chivatos internos”.

Por su parte, en Francia, el Gobierno inició consultas con la patronal y los sindicatos para regular lo que denominan “sistemas de alerta profesional” en cualquier empresa. Ambos coinciden en que no se puede obligar a ningún trabajador a denunciar, en que ningún empleado pueda ser despedido por utilizar de buena fe el sistema de denuncias, así como en que se garantice el derecho a la defensa de las personas denunciadas.

No creo necesaria una regulación como la americana para el volumen de esta actividad que existe actualmente en España, pero cada vez va a ser más necesaria. Habrá que tener en cuenta tanto a asociaciones de empresarios, representantes de los trabajadores y poder normativo para llegar a sentar unas bases que, desarrolladas posteriormente, sean efectivas y consigan la finalidad perseguida sin quebrantar los derechos de ninguna de las partes. En cualquier caso, creo que la clave está en la información al trabajador, los límites que se impongan a los empresarios y el castigo de conductas que pongan en peligro la eficacia y eficiencia de estos sistemas.

3 comentarios »

Memoria AEPD 2007. Recomendaciones

Categorías: AEPD, Recomendaciones, abogado proteccion de datos | 11 Julio, 2008
La Memoria 2007 de la AEPD, además de las cifras de denuncias, sanciones y actuaciones, presenta este año, como novedad, un apartado dedicado a impartir una serie de recomendaciones, tanto normativas como ejecutivas, dirigidas especialmente a los poderes públicos, que van encaminadas a que estos sienten las bases para tutelar la privacidad de los usuarios de sus servicios y adecuar activa y efectivamentemente su organización interna.
Las recomendaciones se dividen en dos grandes grupos. Por un lado están las recomendaciones normativas que tienen como finalidad promover en los organismos públicos:
  • El establecimiento de sistemas de denuncia interna en las empresas por los trabajadores
  • El desarrollo de procedimientos que permitan proteger, de forma compatible con el derecho de protección de datos, los derechos de autor
  • Una regulación normativa que permita publicar las sentencias de órganos jurisdiccionales de forma que no ponga en juego el anonimato de quien las dicta o de alguna de las partes

Por otro, tenemos las recomendaciones ejecutivas, que ponen de manifiesto las que son, en opinión de la Agencia, las líneas maestras que deberán observar las administraciones de cara a una efectiva adecuación de sus actuaciones a la normativa vigente en protección de datos:

  • Plan de protección de los datos personales de los menores en Internet
  • Iniciativa de impulso de cautelas especiales para evitar el intercambio de datos personales sensibles en Internet a través de redes P2P
  • Acción de orientación ciudadana sobre la utilización de garantías de confidencialidad de los destinatarios en el envío de correos electrónicos
  • Plan de Promoción de Buenas Práctyicas en garantía de la privacidad en todos los Boletines y Diarios Oficiales
  • Estrategia Local dirigida a adecuar la instalación de cámaras para el control del tráfico a la normativa de protección de datos personales
  • Promover la Autorregulación en los medios de comunicación para garantizar la privacidad y la protección de los datos personales

Como se puede observar, más que unas simples recomendaciones, constituyen un plan de trabajo en el que la Agencia tiene pensado involucrarse. Me parecen objetivos muy necesarios, pero a la vez muy difíciles de conseguir teniendo en cuenta la poca colaboración que suele haber entre organismos públicos y la escasa concienciación de éstos, y especialemente las personas que los componen, en materia de protección de datos hasta el momento.

En los próximos posits iré desgranando, una a una, las recomendaciones y planteando supuestos e ideas acerca de por qué vías podrá ir encaminada encaminado cada asunto. Se aceptan sugerencias y colaboraciones…

2 comentarios »

Dile al Dr. GOOGLE dónde te duele

Categorías: Privacidad, abogado proteccion de datos | 23 Mayo, 2008
Google sube un escalón en querer saber más de sus usuarios que ellos mismos. Confieso que no puedo dejar de usar sus servicios y que me hacen la vida mucho más fácil pero hay veces que me da un miedo tremendo según qué le tenga que confesar a sus bots. Esto me pasa con su prueba en Beta Google Health (respuesta a un servicio similar de Microsoft, el HealthValut). Vale que se enteren por medio de un mail enviado a un amigo que quiero pasar un fin de semana en París y me “recomienden” un vuelo, un hotel o hasta un coche de alquiler… pero que tengan constancia de mis dolores, ardores o picores me parece más que excesivo. Claramente, se deja bajo responsabilidad del usuario qué datos subir y cuáles no, pero me temo que mucha gente no piensa en posibles consecuencias y se fían de la marca del monstruo americano. Esa delegación de responsabilidad tan habitual en Google, y tan aceptada sin leer, es la que me inquieta.
Google, en palabras de Marissa Mayer, vicepresidenta de búsqueda de producto y experiencia de la compañía, se defiende diciendo que ha puesto «la más firme política de privacidad que se puede construir». Se basa en que los historiales médicos subidos a la herramienta no se podrán acceder desde una búsqueda con el buscador. Faltaría más… Por el contrario, Pam Dixon, director del Foro Mundial de Privacidad, ha señalado que el servicio no cumple con los estándares mínimos establecidos en la Health Insurance Portability and Accountability Act (HIPAA).
Tengo mis serias dudas acerca del máximo nivel de privacidad que asegura Mayer después de leer la Política de Privacidad. Algunas perlas:
  • By creating a link to these websites, you give them permission to send you information such as medical records, prescription histories, or test reports“.
  • If a website accesses your health information and stores a copy of your information, that copy will be governed by that website’s privacy policy“.
Además, para mayor información sobre la privacidad remiten a las Política de Privacidad de Google, cuyo contenido ya nos es conocido, y no precisamente como paradigma del respeto de derechos. Recordemos que el Nuevo Reglamento exige una información clara y entendible para el usuario.
¿El objetivo? El de siempre: PUBLICIDAD. La prueba Beta no lleva publicidad, pero me juego lo que sea a que la versión final sí. El Dr. Google, cuando te recuerde que es la hora de la pastilla, te recomendará también las farmacia donde comprarla, e incluso, las marcas disponibles en el mercado para el mismo medicamento que te han recetado. Asimismo, la base de datos de Google Health te podrá recomendar las clínicas especialistas en tratar síntomas similares al tuyo que hay por tu zona, los médicos especialistas en tus patologías, etc…

Está claro que el servicio es de suscripción voluntaria y que, de momento, sólo hay colaboración con un hospital de Estados Unidos, así que habrá que esperar a ver cómo rompe esto. Aunque yo aviso que, de momento, no se me pasa por la cabeza usarlo…

2 comentarios »

Subasta de dispositivos tecnológicos usados por el Día de Internet

Categorías: abogado nuevas tecnologías | 14 Mayo, 2008
Un poco de corporativismo, sin que se note… Con motivo de la celebración del Día Mundial de Internet, las Telecomunicaciones y de la Sociedad de la Información, el próximo sábado 17 de mayo, el Ayuntamiento de Madrid está preparando diferentes iniciativas. Destacaría la titulada “Dale vida a la tecnología” cuyo objetivo es prolongar la vida útil de los dispositivos tecnológicos aún con valor, desde ordenadores y consolas hasta PDAs o Ipods. Para ello, los ciudadanos pueden depositar todos los días de la semana los aparatos –con valor superior a 40 euros– en cualquiera de las 26 Aulas Madrid Tecnología. Cada persona que realice una donación recibirá un certificado del depósito. Después, serán subastados a través de eBay, donde podremos pujar todos los ciudadanos que lo deseemos. El tema está en que, aunque esto sea una iniciativa del Ayuntamiento de Madrid para que se beneficien los ciudadanos de la capital, no hay manera de controlar que las compras se realicen desde fuera de ésta y puede suponer, en vez de un reciclaje madrileño de gadgets, una exportación de aparatos desde Madrid. Como es por una buena causa, pase. Una buena causa, ya que lo recaudado será donado a una veintena de ONG´s implantadas en España para contribuir a financiar sus proyectos sociales. Los dispositivos que no sean adquiridos serán destinados a reciclaje.
Además, os puede interesar: el mismo día 17, a partir de las 20.30 horas, los ciudadanos podrán degustar en la plaza de Chamberí “arrobas dulces” y participar en un concurso de búsqueda de información por Internet con ordenadores portátiles. Varias Aulas Madrid Tecnología permanecerán abiertas el sábado para acoger una gymkhana de fotografía digital, y en la de La Vaguada se realizarán talleres de cómic digital y campeonatos de videojuegos. Fuente: munimadrid.es
Aún sin comentarios »

"Back to my Mac" permite a una joven llevar una foto del ladrón de su portátil a la policía

Categorías: abogado internet, abogado nuevas tecnologías | 13 Mayo, 2008
Leo en ABC una noticia curiosísima. Una chica que trabaja en una tienda de Apple en Nueva York sufrió un robo en su casa en el que le sustrajeron, entre otros gadgets y objetos tecnológicos, su portátil Mac.
La neoyorquina, una joven de 19 años llamada Kait, se dirigió a la tienda en la que trabaja y consiguió acceder a su portátil robado mediante un servicio online llamado “Volver a mi Mac“. Este servicio, usando el sistema operativo Mac OS X 10.5 Leopard, conecta dos Macs a través de Internet, permitiendo manipular remotamente uno de ellos como si lo tuvieras delante. Esta opción está diseñada especialmente para trabajar desde las estaciones base Airport compatibles. “Esta colaboración se consigue mediante la tecnología NAT-PMP (Protocolo de asignación de puertos NAT), que permite que tu ordenador configure automáticamente la estación base AirPort para proporcionar servicios entre la red local e Internet” (Apple).
Una vez conectada con su ordenador robado, a la joven se le ocurrió encender la webcam para identificar al ladrón. Éste se encontraba navegando por Internet. Kait envió la orden a su mac de realizar una foto mediante al programa Photo booth, que llevan instalado de serie los Macs. Fue entonces cuando, al comenzar la cuenta atrás del disparador en la pantalla, el ladrón se intentó tapar la cara, con nulo resultado, pues fue identificado por los compañeros de piso de Kait como uno de los amigos que habían estado en su piso en una fiesta semanas antes, cuando maquinó el asalto a la casa. Con este retrato y referencias fue fácil identificar al sospechoso y la detención por la policía de éste y su cómplice.
Qué grande puede ser a veces la tecnología y qué torpes pueden llegar a ser algunos… se lo merecen…
Aún sin comentarios »

La recogida de datos personales de menores de edad

Categorías: LOPD, abogado internet, abogado proteccion de datos | 11 Abril, 2008
El nuevo reglamento, que ya en breve entrará en vigor, ha aumentado la protección de los datos de menores de edad, prohibiendo la solicitud o tratamiento de los datos de menores de 14 años sin el consentimiento de sus padres. Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de edad no puedan realizar sin el permiso paterno, como son los recogidos en el artículo 162.1 del Código Civil. El lenguaje de la información en la recogida debe garantizar que el menor la comprende y dejar constancia de que se ha comprobado su edad y la autenticidad del consentimiento prestado. Lógicamente, cuando el recabo de datos se realiza a través de Internet, es muy dificil tener certeza de la edad. Lo que la Children’s Online Privacy Protection Act establece es, entre otras cosas, que los padres o representantes legales tienen el derecho a conocer qué información sobre sus hijos se ha recabado y el uso y finalidad que se van a dar a la misma. Las autorizaciones otorgadas por los padres o representantes de los menores, deben ser verificables: requiere la realización de un esfuerzo proporcionado por parte de quien recoge los datos para comprobar que detrás del consentimiento está el verdadero padre o tutor del menor, ya sea mediante firma digital, clave que la empresa le otorgue o llamada telefónica.
La política de privacidad de los sitios web ha de estar redactada de forma clara y entendible para menores, explicando con precisión la finalidad de la recogida y los diferentes usos, cesiones y acciones futuras. Por supuesto, también ha de contener claramente los derechos ARCO de los que gozan los menores y sus padres y/o representantes legales.
Me ha sorprendido que Antevenio haya sido multada por este motivo precisamente. Dicen por ahí que una de las preguntas de la prueba escrita que plantea la consultora que le lleva los temas de LOPD, en sus pruebas de selección de personal, es precisamente sobre el consentimiento de los menores en la recogida de datos. Le puede pasar a cualquiera…
1 comentario »

Tu jefe te espía

Categorías: Privacidad, abogado proteccion de datos | 26 Marzo, 2008
El semanario alemán Stern publica hoy la noticia de que la cadena de supermercados Lidl ha contratado los servicios de una agencia de espionaje para controlar los movimientos de sus empleados. De los informes de la agencia se desprenden comentarios sobre la vestimenta de algún trabajador, así como acerca de sus comportamientos y las relaciones amorosas entre sus empleados. Un portavoz se excusa en que son filmaciones contra hurtos en las tiendas y no para la vigilancia de sus trabajadores.
Al parecer, estas prácticas solamente se han llevado a cabo en el estado de Baja Sajonia, pero no se descarta que se hayan producido en otros estados alemanes. Peter Schaar, responsable estatal de protección de datos alemán, ha considerado esta práctica un grave atentado contra la intimidad. Además, el artículo segundo de la Constitución alemana también se vería conculcado ya que defiende el libre desarrollo de la personalidad.
Este derecho del empleado se ve enfrentado al derecho del empresario a proteger su empresa.
La AEPD, se pronunció a este respecto en su día exigiendo, como requisito previo imprescindible la información y recabo del consentimiento del trabajador “en caso de que exista un sometimiento de los ficheros a la Ley Orgánica, será necesario para proceder al tratamiento de los datos el consentimiento de los afectados, tal y como dispone el artículo 6.1 de la Ley, debiendo informarse a los mismos de los extremos contenidos en el artículo 5.1 de la misma”. Recabado este imprescindible consentimiento, el empleador antes de instalar cámaras de vigilancia dentro del establecimiento de la empresa deberá sopesar la necesidad real y objetiva de la instalación de esas cámaras y evaluar el grado de intrusión en la privacidad de su empleado, limitando las grabaciones a una finalidad concreta.
Esta clara violación del derecho a la intimidad abre otros debates similares como son la lectura de los e-mails, o el exhaustivo control horario.
Aún sin comentarios »
Artículos siguientes »