En el proceso de cobro de los recibos pendientes la citada entidad realizaba llamadas a familiares y vecinos del deudor, llegando incluso a enviar faxes al centro de trabajo reclamando las cantidades pendientes.

La Agencia de Portección de Dtaos considera que esos procedimientos suponen faltar al deber de secreto ya que se comunican datos a terceros.

Además la Agencia lo considera una falta grave ya que los datos que se proporcionaron a terceros corresponden a datos incorporados a ficheros de prestación de servicios financieros.

Adjuntamos el enlace al texto completo de la sanción de la Agencia de Protección de Datos

Ayer viernes 5 de agosto en un concurso de televisión, resultó que una de las concursantes era una funcionaria de la Agencia de Protección de Datos.

A la pregunta del presentador: ¿qué es lo que hay que hacer para proteger los datos? la consursante respondió:

• Aplicar muchas medidas de seguridad, y…

• Dar mucha caña a las empresas

Hace un tiempo ya incluimos en este blog un comentario sobre la importancia de las sanciones para  cumplir la Ley de Protección de Datos.

En fin, curiosidades de la LOPD…

La información constituye el activo más importante de las empresas, pudiendo verse afectada por muchos factores tales como ROBOS, incendios, inundaciones, fallos del sistema de almacenamiento, virus u otros.

Desde el punto de vista de la empresa, uno de los problemas más importantes que debe resolver es la protección permanente de su información crítica.

La Ley de Protección de Datos Personales LOPD considera como FALTA GRAVE “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Algunas de las preguntas que se deberían hacer las empresas a este respecto, serían las siguientes:

• ¿Por qué motivos puede robar datos el personal de la empresa?

• ¿Cuál es la información preferida para ser robada?

• ¿Qué métodos suele utilizar el personal para el robo de esos datos?

Los métodos más usados sin duda son los Dispositivos portátiles como discos USB, email, incluso impresión de documentos.

• ¿Está el personal de la empresa concienciado con la protección de datos?

¿Cuántas personas saben que todo lo que se transmite por e-mail sin cifrar podría ser leído por terceros en el tránsito entre origen y destino? ¿O que el informe en Excel que acaba de copiar al pendrive puede tener consecuencias no deseadas si lo pierde en el camino a su casa?”

• ¿Qué medidas debería adoptar la empresa para hacer frente a esa amenaza?

En primer lugar implantar las medidas de seguridad incluidas en el Reglamento de la Ley de Protección de Datos. Eso sería el nivel básico.

A partir de ahí existen otros procedimiemtos como la implantación de un SGI o Sistema de Gestión de Seguridad de la Información, que sea certificado con la norma ISO 27001.

• La Directiva de Protección de Datos de la UE entra en conflicto con la legislación estadounidense
• Fuga de información: una realidad que preocupa a todos
• Los Riesgos de exponer datos confidenciales en dispositivos móviles
• Más del 90% de las empresas ha sido víctima de algún ataque en los últimos doce meses

En un post anterior hablábamos de que cualquiera puede denunciar a su empresa ante la Agencia de Protección de Datos.

Supermados LIDL  fue denunciada por un cliente ante la Agencia de Protección de Datos en relación con el sistema de videovigilancia, y acabó recibiendo una sanción de 6.000€

Las imágenes que grababan las cámaras de videovigilancia del supermercado eran visibles en un monitor, por todos los clientes del super que pasaban por allí.

Aparentemente LIDL cumplía con todos los requisitos: tenía visible el cartel de videovigilancia, tenían impresos de la cláusula informativa disponibles, tenía el fichero de Videovigilancia declarado a la Agencia de Protección de Datos, la instalación había sido efectuada por una empresa de seguridad privada, el sistema de videocámaras instalado tenía como finalidad el control y protección de bienes y personas del establecimiento…y sin embargo fue sancionada.

Entonces, ¿por qué fue sancionada LIDL por la Agencia de Protección de Datos?

Según la Agencia de Protección de Datos por no cumplir el principio de proporcionalidad recogido en el artículo 4.1 de la LOPD, que dice que  “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y  las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”

El cumplimiento del principio de proporcionalidad no sólo debe producirse en el ámbito de la recogida de los datos, sino que además debe respetarse en el posterior tratamiento que se realice de los mismos.

En el caso analizado, la forma en LIDL permitió la visualización de las imágenes captadas por las cámaras de videovigilancia, y las de las personas incluidas en las mismas, supone  que LIDL no adoptó las medidas de índole técnica y  organizativa necesarias para evitar el acceso desproporcionado a las mismas, tales como la designación de una o varias personas concretas que fueran las únicas que tuvieran acceso a las imágenes y fueran conocedores de sus obligaciones.

Por consiguiente existe un tratamiento excesivo y no proporcional de las imágenes en relación con el ámbito y las finalidades que justificaban su recogida, toda vez que la seguridad  pretendida  podría haberse obtenido por medios menos intrusivos para la intimidad de las personas afectadas, en todo caso  habilitando a personas concretas  (usuarios autorizados) que tuvieran acceso a las imágenes en forma controlada.

Moraleja: Hay que hilar muy fino para lograr un cumplimiento total de la LOPD

Muchas veces las empresas nos preguntan por las posibilidades que tienen de recibir una inspección de la Agencia de protección de Datos.

Y ya se sabe que detrás de la inspección puede venir la sanción.

La respuesta que les damos es que las probabilidades son muy pequeñas, a no ser que alguien les denuncie.

Y nos siguen preguntando: ¿Quién puede ser ese alguien que nos denuncie a la Agencia de Protección de Datos?. La respuesta es: un empleado, un cliente, alguien que no esté a gusto con algo que hemos hecho, o que busque sacar provecho haciendo referncia a la protección de datos, la competencia,…. En definitiva cualquiera.

En el caso de supermercados LIDL la denuncia partió de un cliente. Y el motivo está relacionado con la Videovigilancia.

Esto es lo que dice la Agencia de Protección de Datos:

“Con fecha de 17 de marzo de 2008 tiene entrada en esta Agencia un escrito de D. A.A.A., en el que declara que la cadena de supermercados “LIDL” y, en concreto, el establecimiento sito en la  (C/………………………..), no cumple la normativa reguladora sobre videograbaciones y derechos de los ciudadanos al respecto. Manifiesta que en los carteles informativos, únicamente se ve la leyenda “Sistema video grabación” puesta bajo un monitor que hay en el pasillo de entrada a la zona de compra y, donde se visualizan imágenes que graba alguna cámara. En el resto de la tienda no es visible ningún tipo de aviso o letrero al respecto de las grabaciones, ni derechos de los ciudadanos a su acceso.”

La sanción impuesta a LIDL fue de  6.000€

Puede leer aquí  la resolución completa de la Agencia de Protección de Datos

Si lo desean pueden leer este post que publicamos aquí hace algún tiempo titulado la Videovigilancia y la Ley de Protección de DATOS.

Está claro que la gente cada vez tiene más conocimientos acerca de la protección de datos, y que sin motivo aparente te pueden jugar una mala pasada.

Moraleja: Cumpla la ley de protección de datos en su empresa y olvídese de las denuncias>sanciones.

Hoy he visto un programa de Tele5 llamado DE BUENA LEY, donde se puso de manifiesto cómo la gente hace cosas olvidándose por completo de que existe la Ley de Protección de Datos.

En dicho pudimos ver cómo una psicóloga había entregado el informe de un paciente, (datos de salud de nivel alto ) no al propio paciente, sino a la que entonces era su mujer y hoy ex-mujer porque ya se han divorciado. Por supuesto la entrega del informe la realizó sin el consentimiento del interesado, tal como exige la LOPD.

A su vez su mujer ese informe de su ex-marido lo utilizó en el juicio del divorcio y además lo entregó en el banco donde trabaja su ex-marido, que salvó su puesto de milagro.

Recordemos que la LOPD en su artículo 11.1 dice textualmente lo siguiente: “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”

Menos mal que el juez que interviene en ese programa hizo mención al incumplimiento de la Ley de Protección de Datos, por comunicar datos a un tercero sin su consentimiento.

Además para más INRI la psicóloga pertenece al gremio médico y por tanto los datos del informe son datos de salud sometidos además a la Ley General de Sanidad.

Lo que más clama al cielo en estos casos es que cuando te diriges a esos profesionales, en esta caso la psicóloga para hablarles de la LOPD y para ayudarles a cumplirla casi siempre te dicen que ellos ya cumplen.

En el caso de la ex-mujer del afectado, es más fácil entender que no conozca la LOPD, aunque su comportamiento según el juez deja bastante que desear.

Como final podemos decir que el juez obligó a la psicóloga a indemnizar al afectado con 6.ooo€ y a su ex-mujer a indemnizarle con otros 3.000€

Esta pregunta se la hacen los responsables de las empresas cuando deciden dar el paso de pasar a cumplir la Ley de Protección de Datos, LOPD.

Hay que entender que para que una empresa pase del estado de no cumplir la LOPD al estado de cumplir la LOPD, es necesario hacer cosas. No se pasa de un estado a otro como por arte magia.

Para hacer todas esas cosas las empresas tienen DOS OPCIONES:

OPCION 1: Contratar un consultor o asesor externo con conocimientos y experiencia para que analice los datos que trata su empresa, y le ayude a implantar las medidas necesarias para cumplir la LOPD.

OPCION 2: Hacerlo todo con los propios medios internos de la empresa.

¿Cuál de esas opciones es la que más le puede interesar?

Podemos comparar las dos opciones en base a diferentes criterios:

-Tiempo de dedicación del personal de la empresa: Muy superior en la opción 2. Si elige la opción 1 el consultor va a hacer el 90% del trabajo necesario.

-Calidad, cosas bien hechas: El conocimiento y la experiencia en distintos tipos de empresas son básicos para conseguir una implantación de calidad en su empresa. Una persona interna va a hacer una sola implantación: la de su empresa, y así es muy difícil controlar todas las variables que inciden en una implantación LOPD de calidad.

-Coste: Afortunadamente para las empresas ( y desafortunadamente para los consultores LOPD) las tarifas de los consultores LOPD son bastante bajas, por lo que la opción 1 tiene todas las ventajas. Si suma las horas de formación interna y del tiempo de ejecución el coste de la opción 2 se le dispara

Como resumen final podríamos decir que:

-A no ser que su empresa tenga recursos humanos sobrantes, y esté dispuesta a invertir un montón de horas en adquirir el conocimiento necesario, nunca le va a interesar la opción de hacerlo usted mismo. Ni por calidad ni por costes.

-Es muy importante elegir un consultor con experiencia para que le haga las cosas bien. Hay muchas empresas que creen cumplir la LOPD y no la cumplen ni de lejos. Eso es porque el asesor que han elegido no es el más adecuado.

Como siempre la decisión es suya.

Guía sobre almacenamiento y borrado seguro de información

Mitos del HTTPS y la navegación segura

El iPad no está preparado para cumplir la LOPD, ¿lo estamos nosotros?

LinkedIn cede información a terceros sin consentimiento de sus usuarios