La labor comenzada con este blog evoluciona con blogs individuales de nuestros expertos y blogs temáticos que se lanzaron en octubre.
Os dejamos aquí las nuevas direcciones y os esperamos
Blog de Antonio Sánchez-Crespo López
http://blogs.sanchez-crespo.com/ascl/
Blog de Elena Pérez Gómez
http://blogs.sanchez-crespo.com/elena/
Blog de Juan Carlos Álvarez Cepeda
http://blogs.sanchez-crespo.com/jcalvarez/
También mudamos nuestro blog de empresa familiar.
Pincha aquí
viernes, 12 de diciembre de 2008
lunes, 26 de mayo de 2008
La AEPD crea una guía para proteger los datos de los menores en Internet
La agencia recomienda informar a los niños sobre los riesgos de facilitar información personal.
En la actualidad, los juegos, chat, foros y blogs están a la orden del día y más entre los jóvenes y niños, por lo que la AEPD ha creado una "guía de recomendaciones para navegar de manera segura", para así, controlar o por lo menos intentar controlar que los menores faciliten sus datos personales en estos sitios, sin la autorización de sus progenitores, aprovechándose de la confianza de los niños y así obtener fácilmente todo tipo de información.
Esta guía tiene recomendaciones básicas no sólo para los niños si no también para que los padres enseñen a sus hijos. Entre estas recomendaciones puedes encontrar desde dar un nombre falso para chatear, hasta que los padres en vez de prohibir el uso de Internet a los niños, naveguen junto a ellos y así ir explicándoles los peligros que corren al revelar sus datos personales.
La teoría está muy bien y a un niño pequeño es más fácil controlarlo pero, lo que no te explica esta guía es a la hora de la práctica, como decir a un adolescente...hijo vamos a sentarnos a navegar juntos!!!. Además, que los padres en la actualidad no tienen tiempo para ponerse a navegar con sus hijos, y los hijos no tienen ganas que sus padres se pongan con ellos delante del ordenador, y menos para controlar que hacen, con quien chatean o en que páginas se meten, teniendo en cuenta claro, que a partir de los 14 años el propio menor puede dar su consentimiento para facilitar esos datos personales además de tener sus derechos a la intimidad, por lo que, ¿hasta que punto se les puede controlar?.
Aunque, después de leer estas recomendaciones, llegas a la conclusión que si peligro tienen los menores, a la hora de la protección de sus datos, igual o más peligro tenemos los no tan niños, por lo que no vendría mal que alguno le echara un ojo a esta guía para que no nos confiemos tanto a la hora de dar datos personales, y más cuando se trata de dar un número de cuenta, que si para un viaje o para comprar esto que está mucho más barato...
En la actualidad, los juegos, chat, foros y blogs están a la orden del día y más entre los jóvenes y niños, por lo que la AEPD ha creado una "guía de recomendaciones para navegar de manera segura", para así, controlar o por lo menos intentar controlar que los menores faciliten sus datos personales en estos sitios, sin la autorización de sus progenitores, aprovechándose de la confianza de los niños y así obtener fácilmente todo tipo de información.
Esta guía tiene recomendaciones básicas no sólo para los niños si no también para que los padres enseñen a sus hijos. Entre estas recomendaciones puedes encontrar desde dar un nombre falso para chatear, hasta que los padres en vez de prohibir el uso de Internet a los niños, naveguen junto a ellos y así ir explicándoles los peligros que corren al revelar sus datos personales.
La teoría está muy bien y a un niño pequeño es más fácil controlarlo pero, lo que no te explica esta guía es a la hora de la práctica, como decir a un adolescente...hijo vamos a sentarnos a navegar juntos!!!. Además, que los padres en la actualidad no tienen tiempo para ponerse a navegar con sus hijos, y los hijos no tienen ganas que sus padres se pongan con ellos delante del ordenador, y menos para controlar que hacen, con quien chatean o en que páginas se meten, teniendo en cuenta claro, que a partir de los 14 años el propio menor puede dar su consentimiento para facilitar esos datos personales además de tener sus derechos a la intimidad, por lo que, ¿hasta que punto se les puede controlar?.
Aunque, después de leer estas recomendaciones, llegas a la conclusión que si peligro tienen los menores, a la hora de la protección de sus datos, igual o más peligro tenemos los no tan niños, por lo que no vendría mal que alguno le echara un ojo a esta guía para que no nos confiemos tanto a la hora de dar datos personales, y más cuando se trata de dar un número de cuenta, que si para un viaje o para comprar esto que está mucho más barato...
domingo, 18 de mayo de 2008
I sesión anual abierta de la AEPD
Toda la documentación de la I sesión anual abierta de la Agencia Española de Protección de Datos está a disposición de cualquiera que le interese el tema en la página web de la Agencia.
En esa dirección se pueden ver las ponencias, están las propias presentaciones de las ponencias y las preguntas que se abordaron y contestaron en la sesión.
No tiene mucho sentido hacer un resumen del acto cuando se puede acudir directamente a la fuente.
Desde aquí muchas gracias a la Agencia por poner a disposición de todos esta interesantísima documentación.
viernes, 18 de abril de 2008
Preparados, listos, ya
Mañana entra en vigor el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (Real Decreto 1720/2007, de 21 de diciembre), así que, abróchense los cinturones que vamos a despegar.
Por ese motivo, el próximo Martes, 22 de abril, se celebra la primera Sesión Anual Abierta de la Agencia Española de Protección de Datos en la que nos procurarán aclarar algunos aspectos que plantea la interpretación y aplicación práctica de este Reglamento. Que no son pocos.
Postearemos las conclusiones de esta jornada pues lo que se trate en ella va a marcar, en gran medida, el sentido de la interpretación de la norma para su aplicación.
Por ese motivo, el próximo Martes, 22 de abril, se celebra la primera Sesión Anual Abierta de la Agencia Española de Protección de Datos en la que nos procurarán aclarar algunos aspectos que plantea la interpretación y aplicación práctica de este Reglamento. Que no son pocos.
Postearemos las conclusiones de esta jornada pues lo que se trate en ella va a marcar, en gran medida, el sentido de la interpretación de la norma para su aplicación.
lunes, 14 de abril de 2008
Con los datos especialmente protegidos no se juega
El próximo sábado 19 de abril entrará en vigor el nuevo reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (Real Decreto 1720/2007, de 21 de diciembre).
He aprovechado la tarde para darle un repaso previo antes del pistoletazo de salida.
Hay muchos temas que nos llaman especialmente la atención en el Reglamento. Los iremos subiendo y comentando poco a poco porque es una norma especialmente bonita para interpretar. También es reiterativa. Demasiado “copy” “paste” de la Ley Orgánica de Protección de Datos y, lo que es peor, no siempre ha sido una copia literal. Por ahí patina alguna conjunción, por ejemplo, lo que puede ser problemático a la hora de interpretar. Y eso que en el prólogo se declara que la norma nace con la “vocación de no reiterar la norma superior”…
De todos modos, hoy estoy más por abordar temas técnicos que legales. Dejo para otro post las “conjunciones” y me centro en las medidas de seguridad para el tratamiento de datos de carácter personal.
Me ha llamado particularmente la atención el artículo 81 del Reglamento en el que se hace referencia a la aplicación de los niveles de seguridad. En concreto, el apartado 6, en el que dice literalmente:
“También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo de cumplimientos de deberes públicos”.
Uhm… Curioso ¿no? Sobretodo cuando al ofrecernos la definición de qué es un dato de carácter personal relacionado con la salud, el propio Reglamento en el artículo 5 apartado g) hace referencia expresa a esta particularidad:
“En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad…”
Otra vez curioso. Se me está advirtiendo que, en particular, es dato de salud el referido al porcentaje de capacidad pero luego se me exime de aplicarle las medidas de seguridad de nivel alto al grado de discapacidad.
He aprovechado la tarde para darle un repaso previo antes del pistoletazo de salida.
Hay muchos temas que nos llaman especialmente la atención en el Reglamento. Los iremos subiendo y comentando poco a poco porque es una norma especialmente bonita para interpretar. También es reiterativa. Demasiado “copy” “paste” de la Ley Orgánica de Protección de Datos y, lo que es peor, no siempre ha sido una copia literal. Por ahí patina alguna conjunción, por ejemplo, lo que puede ser problemático a la hora de interpretar. Y eso que en el prólogo se declara que la norma nace con la “vocación de no reiterar la norma superior”…
De todos modos, hoy estoy más por abordar temas técnicos que legales. Dejo para otro post las “conjunciones” y me centro en las medidas de seguridad para el tratamiento de datos de carácter personal.
Me ha llamado particularmente la atención el artículo 81 del Reglamento en el que se hace referencia a la aplicación de los niveles de seguridad. En concreto, el apartado 6, en el que dice literalmente:
“También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo de cumplimientos de deberes públicos”.
Uhm… Curioso ¿no? Sobretodo cuando al ofrecernos la definición de qué es un dato de carácter personal relacionado con la salud, el propio Reglamento en el artículo 5 apartado g) hace referencia expresa a esta particularidad:
“En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad…”
Otra vez curioso. Se me está advirtiendo que, en particular, es dato de salud el referido al porcentaje de capacidad pero luego se me exime de aplicarle las medidas de seguridad de nivel alto al grado de discapacidad.
Parece que el legislador ha querido quitarle problemas a los responsables de los ficheros (pongamos una empresa en su fichero de Recursos Humanos) que tiene que tratar datos de discapacidad de los trabajadores obligatoriamente y darles una “facilidad” permitiendo aplicar unas medidas de seguridad de nivel bajo a esos ficheros. (recuerdo que la norma general es que a los datos especialmente protegidos, salud, entre ellos, se les aplican medidas de seguridad de nivel alto. )
Pero si los datos de salud son datos especialmente protegidos y, puesto que el grado de discapacidad es un dato de salud, si nos ponemos a hacer excepciones ya estamos haciendo malabarismos con el derecho a la intimidad personal.
Y siempre cabe la duda de jugar con la semántica y pensar: -Claro es que en el artículo 5 dice “porcentaje de discapacidad” y en el artículo 81.6 “grado de discapacidad”.
A mi la duda me quedó resuelta cuando acudí al Real Decreto 1971/1999, de 23 de diciembre, de procedimiento para el reconocimiento, declaración y calificación del grado de minusvalía y leí en el artículo 4, segundo párrafo:
“El grado de minusvalía se expresará en porcentaje”
Pero si los datos de salud son datos especialmente protegidos y, puesto que el grado de discapacidad es un dato de salud, si nos ponemos a hacer excepciones ya estamos haciendo malabarismos con el derecho a la intimidad personal.
Y siempre cabe la duda de jugar con la semántica y pensar: -Claro es que en el artículo 5 dice “porcentaje de discapacidad” y en el artículo 81.6 “grado de discapacidad”.
A mi la duda me quedó resuelta cuando acudí al Real Decreto 1971/1999, de 23 de diciembre, de procedimiento para el reconocimiento, declaración y calificación del grado de minusvalía y leí en el artículo 4, segundo párrafo:
“El grado de minusvalía se expresará en porcentaje”
...
En fin, cuando era pequeña mi tía Marisa me cantaba una frasecita para que no tocara sus cosas que decía: “con las cosas de Marisa no se juega”. A pesar de eso acabé tirando su despertador al inodoro.
Yo ahora cojo prestada la fórmula y digo “con los datos especialmente protegidos no se juega”. Espero que mis derechos no terminen en el mismo sitio que aquel despertador.
En fin, cuando era pequeña mi tía Marisa me cantaba una frasecita para que no tocara sus cosas que decía: “con las cosas de Marisa no se juega”. A pesar de eso acabé tirando su despertador al inodoro.
Yo ahora cojo prestada la fórmula y digo “con los datos especialmente protegidos no se juega”. Espero que mis derechos no terminen en el mismo sitio que aquel despertador.
Elena Pérez Gómez
Sánchez-Crespo Abogados y Consultores
viernes, 11 de abril de 2008
Consentimiento tácito en protección de datos
Los lobbies funcionan. El legislador ha oído durante los últimos años y, durante los últimos meses a los grupos de presión incluyendo en el reglamento de desarrollo de la Ley Orgánica de Protección de Datos numerosas "novedades" en materia de prospección comercial favorables a los responsables de ficheros y tratamientos.
Para compensar, el reglamento ha impuesto determinadas obligaciones que, bajo mi punto de vista, no terminan de equilibrar la balanza de derechos y obligaciones de los afectados y los responsables. En mi condición de agectado no me gustan muchas de las novedades, pero en mi condición de responsable todavía estoy celebrándolas.
El artículo 14 del reglamento valida los procedimientos y las formas para recabar el consentimiento de forma tácita.
Dichos procedimietos pasan por informar al afectado de que se piensa hacer con sus datos (cumpliendo el resto de requisitos legales) y datle un plazo de un mes para que se oponga advirtiéndole de que en caso de no expresar su oposición se entenderá que consiente en que dicho tratamiento (incluida la cesión como un tratamiento más) se lleve a cabo.
Para proteger a los afectados, el reglamento obliga al responsable a:
a) que la información sea perfectamente visible si la envía junto con otra información o documentos;
b) utilizar un método por el que pueda conocer si una comunicación ha sido devuelta, en cuyo caso no podrá tener por prestado el consentimiento tácito.
b) utilizar un método por el que pueda conocer si una comunicación ha sido devuelta, en cuyo caso no podrá tener por prestado el consentimiento tácito.
c) Poner a disposición del afectado mecanismos sencillos y gratuitos para ejercer su oposición.
Además, el reglamento de protección de datos permite al responsable solicitar este consentimiento a los afectados repetidas veces siempre que medie un año en tre solicitud y solicitud.
Este mecanismo, que nos abre muchas puertas y que nos impedirá volver a quejarnos de que la normativa de protección de datos resulta ser tan restrictiva que nos resta competitividad frente a competidores extranjeros, generará una casuística tan amplia que los abogados y consultores tenemos diversión para unos cuantos años.
Resumen de noticia publicada en La Gaceta de los Negocios, 25 de febrero de 2008 por D. Antonio Sánchez-Crespo López.
viernes, 29 de febrero de 2008
Nunca pasa nada hasta que pasa
En el pasado año vimos inspecciones a importantes ayuntamientos españoles por cesiones no consentidas de datos de carácter personal, el robo de ordenadores en los ayuntamientos de la sierra de Madrid, la distracción de equipos informáticos por parte de un partido político que dejaba un ayuntamiento concreto para darle paso al partido de la oposición, las sanciones a la Audiencia Nacional y al Tribunal Supremo por no informar en la recogida de datos de carácter personal… Sólo falta que los publiquen directamente en Internet al alcance de cualquiera. ¡Ah! no, que también hemos visto algún caso… ¿Es o no es para llorar? A mí, personalmente, el panorama me parece desolador.
Una mañana me levanté con la sorpresa de que la hacienda británica perdió datos confidenciales de 25 millones de ciudadanos británicos, de 7,25 millones de familias que habían pedido ayudas fiscales.
Sigue siendo para llorar... Si la hacienda de un país desarrollado pierde datos al enviárselos a la oficina nacional de auditoría (National Audit Office) –el equivalente al Tribunal de Cuentas español-, que no me digan que tenemos derecho a la intimidad que me echo a reír… Si la administración pública no cumple la normativa ¿qué puedo esperar a menor escala de empresas y otras entidades que tratan mis datos?
Llevamos ya algunos años trabajando con centenares de empresas implantando en las mismas el régimen jurídico de protección de datos y haciendo una continua y ardua labor de concienciación de sus trabajadores sobre la necesidad de proteger la privacidad de las personas con las que trabajan.
Algunas empresas se ajustan a la ley e implantan las medidas de seguridad exigidas porque están concienciadas de que, ante todo, estamos ante un derecho fundamental digno de una protección superior y de que es necesario garantizar la seguridad y el control del tratamiento y almacenamiento de los datos de carácter personal. Sin embargo, la mayoría, se adaptan a la ley simplemente porque quieren evitar las sanciones dimanadas del incumplimiento de la normativa. No están concienciadas de la bondad de hacerlo y de lo rentable que en algunos casos llega a ser. Pero, por lo menos, lo hacen. Sin embargo, lo peor es que la administración no está haciendo nada. O, por lo menos, nada efectivo. No están dando ejemplo. O se consigue proteger la intimidad y el honor garantizando el habeas data o no se consigue. O se garantiza o no se garantiza.
Lo que dejó muy claro el caso de la hacienda británica es que las medidas de seguridad están para algo. Y que la normativa de protección de datos no es un capricho del legislador sino una necesidad, dada la actual capacidad de los sistemas de información.
¿Cómo es posible que semejante calidad y volumen de datos haya entrado y salido de un ministerio hasta en tres ocasiones sin ningún tipo de registro de la valija? ¡Si es que es de lo más básico en materia de seguridad! No hablamos de que se los datos viajen cifrados (que también es muy sencillo) o camuflados sino simplemente de que quede registrado quién los lleva, a dónde y cómo. ¡Si es que hay más control sobre la ubicación de un libro que se compra a distancia en Internet! Siempre se sabe dónde está el libro.
En fin, las obligaciones en materia de protección de datos de carácter personal y las medidas de seguridad existen, precisamente, para garantizar el control sobre los datos de carácter personal y evitar pérdidas de confidencialidad, integridad y disponibilidad de los mismos.
La pena es que muchos le ven las orejas al lobo sólo cuando saltan noticias de este tipo... Pero ya es tarde, el mal ya está hecho.
Una mañana me levanté con la sorpresa de que la hacienda británica perdió datos confidenciales de 25 millones de ciudadanos británicos, de 7,25 millones de familias que habían pedido ayudas fiscales.
Sigue siendo para llorar... Si la hacienda de un país desarrollado pierde datos al enviárselos a la oficina nacional de auditoría (National Audit Office) –el equivalente al Tribunal de Cuentas español-, que no me digan que tenemos derecho a la intimidad que me echo a reír… Si la administración pública no cumple la normativa ¿qué puedo esperar a menor escala de empresas y otras entidades que tratan mis datos?
Llevamos ya algunos años trabajando con centenares de empresas implantando en las mismas el régimen jurídico de protección de datos y haciendo una continua y ardua labor de concienciación de sus trabajadores sobre la necesidad de proteger la privacidad de las personas con las que trabajan.
Algunas empresas se ajustan a la ley e implantan las medidas de seguridad exigidas porque están concienciadas de que, ante todo, estamos ante un derecho fundamental digno de una protección superior y de que es necesario garantizar la seguridad y el control del tratamiento y almacenamiento de los datos de carácter personal. Sin embargo, la mayoría, se adaptan a la ley simplemente porque quieren evitar las sanciones dimanadas del incumplimiento de la normativa. No están concienciadas de la bondad de hacerlo y de lo rentable que en algunos casos llega a ser. Pero, por lo menos, lo hacen. Sin embargo, lo peor es que la administración no está haciendo nada. O, por lo menos, nada efectivo. No están dando ejemplo. O se consigue proteger la intimidad y el honor garantizando el habeas data o no se consigue. O se garantiza o no se garantiza.
Lo que dejó muy claro el caso de la hacienda británica es que las medidas de seguridad están para algo. Y que la normativa de protección de datos no es un capricho del legislador sino una necesidad, dada la actual capacidad de los sistemas de información.
¿Cómo es posible que semejante calidad y volumen de datos haya entrado y salido de un ministerio hasta en tres ocasiones sin ningún tipo de registro de la valija? ¡Si es que es de lo más básico en materia de seguridad! No hablamos de que se los datos viajen cifrados (que también es muy sencillo) o camuflados sino simplemente de que quede registrado quién los lleva, a dónde y cómo. ¡Si es que hay más control sobre la ubicación de un libro que se compra a distancia en Internet! Siempre se sabe dónde está el libro.
En fin, las obligaciones en materia de protección de datos de carácter personal y las medidas de seguridad existen, precisamente, para garantizar el control sobre los datos de carácter personal y evitar pérdidas de confidencialidad, integridad y disponibilidad de los mismos.
La pena es que muchos le ven las orejas al lobo sólo cuando saltan noticias de este tipo... Pero ya es tarde, el mal ya está hecho.
Y es que se sigue confiando en que nunca pasa nada, hasta que pasa.
Suscribirse a:
Entradas (Atom)