SEPTIEMBRE 2014 Protección de Datos archiva una denuncia por falta de confidencialidad

Transcripción

1 Protección de Datos archiva una denuncia por falta de confidencialidad EFE HUELVA La Agencia Española de Protección de Datos (AEPD ) ha archivado una denuncia presentada por la Asociación Unificada de la Guardia Civil (AUGC) relativa a la "falta de confidencialidad" en los expedientes disciplinarios por parte de la Comandancia de la Benemérita en Huelva desde el año En la resolución se especifica que el denunciante expone que dicha situación "redunda revelaciones de datos de expedientes disciplinarios a terceros ajenos y ello porque en la tramitación de los expedientes disciplinarios se incumplen las medidas de seguridad implantadas". En el caso analizado queda probado que la utilización del correo electrónico

2 corporativo es apto para la realización de comunicaciones administrativas, que existe un responsable de la recepción de los correos y que no se ha probado que personas ajenas hayan accedido a ellos. os/archiva/una/denuncia/por/falta/confidencialidad.html Los 28 apoyan una 'ventanilla única europea' para la protección de los datos de los ciudadanos de la UE Una "amplísima mayoría" de ministros europeos de Justicia, reunidos este lunes en Luxemburgo, han mostrado su apoyo a la idea de Bruselas de crear una 'ventanilla única europea" para la protección de los datos de los ciudadanos europeos, un instrumento con el que se quiere reforzar la garantía de sus derechos, pero también reducir la carga burocrática de las empresas que quieren operar en la Unión Europea. El objetivo principal es permitir a un ciudadano que vea vulnerados sus derechos en materia de protección de datos acudir a la justicia de su país, aunque la empresa denunciada tenga su sede en otro Estado miembro. Hasta ahora, los europeos deben desplazarse al país en donde se ubica la compañía y con los cambios propuestos por Bruselas "esa anomalía quedará zanjada", según ha dicho la vicepresidenta del Ejecutivo comunitario y responsable de Justicia, Viviane Reding, en una rueda de prensa al término de un debate con los ministros. Reding, quien ha recordado que muchas de las multinacionales cuyo negocio está vinculados al uso de datos personales en Internet, como las redes sociales, están instaladas en Irlanda, ha destacado que existe el "acuerdo político" necesario para avanzar en este proyecto. Si bien ha concedido que las divergencias entre países en cuanto a la cesión de competencias obliga a dejar a los expertos el trabajo técnico "para atar los últimos cabos" en los próximos meses. Entre las reservas planteadas por los Estados miembros en la discusión, figura el reparto competencias entre la nueva 'ventanilla única' y las autoridades nacionales o si debería tener poder para imponer sanciones. de

3 Los jefes de Estado y de Gobierno de la UE abordarán la cuestión digital en su próxima cumbre de finales de este mes y Reding ha confiado en que tomen buena nota de la "amplísima mayoría" que ha conseguido este lunes de los ministros. La comisión de Libertades Civiles del Parlamento Europeo tratará el asunto el próximo 21 de octubre, y Bruselas espera contar con el respaldo de la Eurocámara y del Consejo para contar con un texto "definitivo" a más tardar "a finales de año". Reding ha advertido de que el negocio de los datos en la Unión Europea mueve un volumen de millones de euros anuales, según datos de 2011, y que podría incrementarse hasta el billón de euros anuales en 2020 si se toman las medidas necesarias para "abrir el mercado" y ofrecer un marco "coherente y sencillo", con menos cargas para las empresas y más garantías jurídicas. Fuente: europapress.es eliminaran sus datos de los archivos del establecimiento, lo que constituye una sanción grave de las recogidas por la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI). La resolución del director de la Agencia, contra la que el hotel puede presentar recurso, está fechada en el mes de junio de 2012, pero los hechos analizados se remontana En el mes de mayo de ese año cuando el cliente envió al hotel un correo electrónico en el que solicitaba ejercer el derecho de cancelación de sus datos personales ante la entidad, y específicamente, expresaba su deseo de dejar de recibir publicidad. En noviembre reenvía la petición y recibe una comunicación del hotel asegurando que ha procedido a la cancelación de sus datos y que no recibirá más publicidad en el futuro. Sin embargo, siguió recibiendo una docena de correos comerciales a lo largo del año Multan a un hotel por enviar correos no deseados La Agencia Española de Protección de Datos ha sancionado con euros a un hotel de Zamora por enviar reiteradamente información comercial a un cliente, pese a que éste había pedido expresamente que se

4 El establecimiento alegó que había sido el cliente quien «solicitó verbalmente el envío de información en el contexto de una posible compra de nuestros servicios sobre eventos, facilitando para ello su dirección de correo electrónico en el mostrador de información de nuestro hotel, motivo por el cual se procedió a realizar el envío de la información de buena fe, sin recabar su consentimiento documental entendiendo que éste, con su petición ya había manifestado su deseo de recibir nuestras comunicaciones». Indica también que en ningún correo se ocultaba la identidad del establecimiento y que en noviembre de 2011 procedieron a eliminar de la base de datos el correo electrónico de esta persona, único dato del que disponían, ya que había sido él mismo el que lo había facilitado al hotel. Además de admitir un error inicial que luego subsanó, el hotel precisaba que muchas de las comunicaciones eran meramente informativas y no podían considerarse en sentido estricto comerciales. Para la Agencia, sin embargo, simplemente informar de eventos que se suceden en la sede de la entidad denunciada, ofreciendo ésta productos y servicios es suficiente para la calificación de comunicación comercial, aunque no figure el precio. La Agencia Española de Protección de Datos estima que ha quedado acreditado que la entidad denunciada envió doce comunicaciones comerciales por medios electrónicos con posterioridad a la oposición expresa del destinatario. Si el destinatario hubiera recibido menos de cuatro comunicaciones comerciales en el plazo de un año se hubiera tratado de una infracción leve; sin embargo, se enviaron muchas más, lo que hace que los hechos se consideren infracción grave con propuesta de una multa, en principio, de euros, reducida después al tramo más bajo, de euros. La cuantía máxima que se establece para este tipo de infracciones es de euros, aunque para fijar si se aplica el tramo mayor o menor se tiene en cuenta la existencia de intencionalidad, el plazo de tiempo durante el que se haya venido cometiendo la infracción, su reincidencia, la naturaleza y cuantía de los perjuicios causados, los beneficios obtenidos por el infractor y el volumen de facturación afectado.el hotel puede recurrir ante la propia Agencia de Protección de Datos o bien acudir al juzgado. Fuente: laopiniondezamora.es El 55% de las comunidades de propietarios desconoce las obligaciones en materia de protección de datos Las comunidades de propietarios están obligadas a cumplir la Ley Orgánica de Protección de Datos (LOPD), una exigencia que puede

5 acarrear sanciones económicas de hasta euros. El Colegio Profesional de Administradores de Fincas de Madrid (CAFMadrid) quiere alertar de la existencia de comunidades de propietarios no administradas por profesionales colegiados a las que se las ha abierto procedimientos sancionadores. CAFMadrid calcula que 55 de cada 100 comunidades de propietarios españolas desconoce las obligaciones que en materia de protección de datos debe cumplir, siendo las causas sujetas a infracción más habituales aquellas relacionadas con las comunicaciones a través del tablón de anuncios, datos económicos de propietarios morosos y la existencia de cámaras de videovigilancia. Como ejemplos, el CAFMadrid destaca las sanciones a comunidades de propietarios por exhibir en el tablón de anuncios los datos de los propietarios morosos. A este respecto, únicamente se puede informar de los propietarios morosos en la convocatoria de la junta para que éstos sepan que estarán privados de su derecho de voto durante su celebración, dice el Colegio Profesional de Administradores de Fincas de Madrid. De la misma manera esta situación quedará reflejada en el acta. Ahora bien, continúa, dicha convocatoria se enviará primero al domicilio a efectos de comunicaciones facilitado por el propietario por lo que no deberá exponerse la misma en el tablón de anuncios de la comunidad. La publicación de la convocatoria en el tablón de anuncios con datos de morosos sólo estará justificada si no se ha podido notificar la deuda o el acuerdo de liquidación de la misma en el domicilio que tiene designado el propietario en España o, en su defecto, en el piso o local perteneciente a la comunidad, y se acredite este intento de comunicación. Para evitar posibles denuncias ante la Agencia Española de Protección de Datos, el CAFMadrid recomienda regular el uso del tablón (tipo de comunicaciones y notificaciones que del mismo se pueden colgar, siempre relativas al ámbito de la comunidad de propietarios). No obstante, la instalación de cámaras de videovigilancia sin las garantías de la LOPD está siendo últimamente uno de los motivos más recurrentes de las sanciones.

6 Las comunidades de propietarios que cuenten con sistemas de videovigilancia en sus zonas comunes, deberán cumplir con el deber de informar a los afectados, expresado en la LOPD y la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. En este caso, pese al cumplimiento general de las obligaciones formales respecto de la instalaciones de videovigilancia incluso encontrándose habilitado por la LSP, este hecho no autorizaría a la visualización de las imágenes tal y como lo realizaba, ya que el proceso de visualización era accesible a través de un monitor situado a la entrada del supermercado, incumpliendose el principio de proporcionalidad. A tal fin, son obligaciones de la comunidad, entre otras, colocar en las zonas videovigiladas al menos un distintivo informativo ubicado en un lugar suficientemente visible, tanto en espacios abiertos (jardín comunitario, piscina, etc.) como cerrados (portal, garaje, escalera.), comunicar a la Agencia la creación del fichero donde se registran las grabaciones y el nombramiento en Junta General de Propietarios de los órganos de gobierno habilitados para la visualización, concluye el CAFMadrid. Sanciones por tener a la vista cámaras de videovigilancia Recientemente hemos tenido conocimiento de procedimiento sancionador a una cadena conocida de supermercados en relación al cumplimiento de la normativa de LOPD sobre videograbaciones y derechos de los ciudadanos al respecto. En este supuesto se ha probado que las imágenes captadas por las cámaras que integraban el sistema de videovigilancia podían ser visionadas en tiempo real por cualquier persona que accediera al establecimiento a través del monitor colocado en la entrada del local al que estaban conectadas las citadas cámaras, siendo visionadas también por cualquier persona que se acercara al lugar en que estaba emplazado

7 dicho dispositivo. Por lo tanto, dicho tratamiento ha supuesto una vulneración del principio de proporcionalidad previsto en el artículo 4.1 de la LOPD. La sanción recibida por esta cadena de supermercados ha sido de El número de DNI ahora sí es un dato personal Hace unos días la AEPD ha publicado un informe jurídico donde destierra la extravagante teoría de que el número de DNI o NIE aisladamente no es un dato personal y concluye en determinar que sí lo es; es más, indica que una simple base de datos en la que sólo se contenga el número de DNI constituye un fichero de datos personales sometido a toda la LOPD. En resumen, el informe cuestiona si la creación de un fichero en el que sólo se contiene el número de DNI, o el NIE queda sometido a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD). regulan. En primero lugar, el Real Decreto 1553/2005, de 23 diciembre por la que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica del DNI, y en cuanto al NIE se encuentra regulado en el Real Decreto 2393/2004,de 30 diciembre por el que se Aprueba el Reglamento de la Ley Orgánica 4/2000, sobre derechos y libertades de los extranjeros en España y su integración social menciona los artículos que definen en esas leyes al DNI y al NIE respectivamente. En base a todo ello, concluye en que, la base de datos descrita en la consulta en la que tan sólo aparece recogido el número del DNI o el NIE, queda plenamente sometida a la Ley Orgánica y su Reglamento de desarrollo, debiendo de adoptarse todas las medidas en dichas normas previstas, dado que son números cuya finalidad es identificar a las personas físicas. La AEPD entonces dirime sobre si el dato de DNI es o no personal, e invoca los artículos 3.a de la LOPD y 5.1.f y 5.1.o del Real Decreto 1720/2007. Estas definiciones las conecta con las finalidades que tienen tanto el DNI como el NIE y que aparecen recogidas en sendos Reales Decretos que los