Anexo XVII Caso práctico sobre las infracciones y sanciones de la LOPD



Documentos relacionados
POLÍTICA DE PRIVACIDAD (LOPD)

Gabinete Jur?dico. Informe 0012/2013

POLÍTICA DE PRIVACIDAD

Responsabilidad del fichero de portabilidad. Informe 8/2006

Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández.

C/ Francisco Gourié, nº 18 - Ent. B Las Palmas de Gran Canaria (34) (34) consultores@grupoaudidat.

L.O.P.D. C/Rafael Sánchez 61. Real de San Vicente Toledo. Teléfono: Fax:

Consultoría y Auditoría en Protección de Datos. Pertenece a la Red Nacional de Consultores y Distribuidores Gesdatos.

POLITICA DE PRIVACIDAD DE PARKHOMESPAIN.COM

de la LOPD y del RDLOPD Cómo cumplir con la Ley sin perder operatividad y eficacia

CIntas de correr Bicicletas fitness Elípticos Complementos gimnasio - Política de Privacidad

POLÍTICA DE PRIVACIDAD

Gabinete Jurídico. Informe 405/2008

Revisión del Universo de empresas para la Estimación de los Datos Del Mercado Español de Investigación de Mercados y Opinión.

AVISO LEGAL CONDICIONES DE USO. Esta web ha sido creada por BAS CARGO BARCELONA S L con carácter informativo para su uso personal y gratuito.

Informe final de evaluación del seguimiento de la implantación de títulos oficiales MÁSTER UNIVERSITARIO EN PERIODISMO MULTIMEDIA PROFESIONAL

Procedimiento para la solicitud de MODIFICACIONES en los Títulos Universitarios Oficiales de Grado y Máster

Adopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.

ISO 17799: La gestión de la seguridad de la información

Servicio de hospedaje de servidores

En relación con esta cuestión, debe tenerse en cuenta que el criterio de esta Agencia, que puede resumirse del siguiente modo:

Expte. DI-1084/ EXCMO. SR. CONSEJERO DE OBRAS PÚBLICAS, URBANISMO, VIVIENDA Y TRANSPORTES Edificio Pignatelli ZARAGOZA I.

SISTEMA InfoSGA Manual de Actualización Mensajeros Radio Worldwide C.A Código Postal 1060

ORDENACIÓN DE LAS ACTUACIONES PERÍODICAS DEL CONSEJO SOCIAL EN MATERIA ECONÓMICA

Listas Robinson. 9 octubre 2011

PROYECTO INGLÉS PARA TODOS BASES DE CONVOCATORIA 2016

NORMA TÉCNICA DE AUDITORÍA SOBRE CONSIDERACIONES RELATIVAS A LA AUDITORÍA DE ENTIDADES QUE EXTERIORIZAN PROCESOS DE ADMINISTRACIÓN

Política de Privacidad del Grupo Grünenthal

GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES

Gabinete Jurídico. Informe 0084/2009

Qué ventajas e inconvenientes tiene el comercio electrónico con respecto al tradicional?

INFORME MODIFICACIÓN DE LA LOPD

CERDO-IBERICO: FORO DE DISCUSIÓN SOBRE EL CERDO IBÉRICO EN INTERNET

AVISO LEGAL OBJETO PROPIEDAD INTELECTUAL E INDUSTRIAL

PARA COMERCIANTES Y AUTÓNOMOS. INFORMACIÓN SOBRE TARJETAS DE CRÉDITO.

BASES DE LA PROMOCIÓN LOOKING FOR

Política de privacidad

ANEXO INFORMACION RESPECTO DE LA ADOPCION DE PRACTICAS DE GOBIERNO CORPORATIVO

NORMA DE CARÁCTER GENERAL N 341 INFORMACIÓN RESPECTO DE LA ADOPCIÓN DE PRÁCTICAS DE GOBIERNO CORPORATIVO. (ANEXO al 31 de diciembre de 2014)

Informe final de evaluación del seguimiento de la implantación de títulos oficiales MÁSTER UNIVERSITARIO EN ANÁLISIS ECONÓMICO MODERNO

Informe de transparencia del sector fundacional andaluz

Fuente: Diario Palentino.es (15/02/2013). Para ver la noticia completa pulse aquí.

BOLETÍN OFICIAL DEL ESTADO

Informe final de evaluación del seguimiento de la implantación de títulos oficiales

5.1 REGISTRO DE FICHEROS Análisis de los datos tratados Inscripción de los ficheros... 5

Informe Jurídico 0494/2008

Servicio para colectivos Legislación A quien se dirige? Glosario Obligaciones Infracciones y sanciones Protección de Datos Servicio de Asesoramiento

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.

Para llegar a conseguir este objetivo hay una serie de líneas a seguir:

Aplicación de las normas de protección de datos a los datos de personas fallecidas. (Informe 61/2008)

Aquellas fotografías que demuestren a mascotas perjudicadas o en donde se atente contra su salud serán eliminadas inmediatamente.

I. Introducción. Prado, VITORIA-GASTEIZ Tel.: (+34) Faxa: (+34) arartekoa@ararteko.net

POLÍTICA DE COOKIES. A continuación explicaremos qué son las cookies y los tipos de cookies que utiliza la Fundación Fuertes en su sitio Web:

LEY DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL CONTRATO DE PRESTACIÓN DE SERVICIOS

ZUGASTI ABOGADOS.

Pues bien, el tenor de la norma citada, especialmente a la luz de lo que señala su exposición de motivos parece indicar que la inscripción queda

masterunir FORMULARIO DE SOLICITUD DE ADMISIÓN Solicitud de admisión Nombre: Solicita plaza para máster:

Relaciones profesionales

El presente aviso legal tiene como objeto informar sobre las características de la página web del ILUSTRE

Informe Anual de Actividades Comité de Auditoría y Cumplimiento de Vocento, S.A.

Gabinete Jurídico. Informe 0542/2009

Operación 8 Claves para la ISO

TALLER 2. MEJORA CONTINUA

Joinup Green Intelligence S.L. facilita el siguiente dato de contacto:

LEY DE PROTECCIÓN DE DATOS

Programa 25 Atractivo de la formación UPM

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

empresa, con el fin de recabar la informaciónnecesaria para poder identificar los ficheros existentes.

Aviso Legal. Entorno Digital, S.A.

Comunicación y consulta de horas de formación profesional continuada realizadas por los censores de cuentas.

GESTIÓN DE LA DOCUMENTACIÓN

Política de privacidad y protección de datos de At biotech

Política de privacidad. FECHA DE VIGENCIA : 22 de Abril del 2014

NOTIFICACIÓN DE MOVIMIENTOS DE ESTUPEFACIENTES POR PARTE DE LOS LABORATORIOS FARMACÉUTICOS Y ALMACENES MAYORISTAS DE DISTRIBUCIÓN

Gabinete Jurídico. Informe 0630/2009

ANTECEDENTES DE HECHO

Es una ley relativa al desarrollo de los derechos fundamentales y con el objeto de garantizar y proteger de las libertades públicas de las personas

1. Introducción (justificación del trabajo, contexto, experiencias previas, etc.).

3 Todos los artículos están sujetos a que su disponibilidad no se halle agotada.

NORMATIVA SOBRE LA SOLICITUD DE AVAL Y/O APOYO A: ACTIVIDADES FORMATIVAS, REUNIONES CIENTÍFICAS, PUBLICACIONES

Condiciones generales

Guía LEGAL Conectores sociales Y "SOCIAL LOGIN"

INMACULADA ROMAN CONSULTORES ADAPTACIÓN A LA LEY 34/2002 DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y COMERCIO ELECTRÓNICO- LSSICE

BASES REGULADORAS PARA LA ADJUDICACIÓN DE AYUDAS A LA INVESTIGACIÓN FEMI PARA JOVENES INVESTIGADORES

Del mismo modo, estos materiales pueden ser modificados, desarrollados o actualizados sin notificación previa.

Las consultas se han agrupado en las siguientes cuestiones: En relación con el punto 5.1 que exige como requisito de solvencia técnica y profesional:

ASISTENCIA ADMINISTRATIVA MUTUA EN MATERIA DE ADUANAS ARTÍCULO 1. Definiciones

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

Según el artículo 4.1 de la Ley Orgánica, Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como.

CÓMO AFECTA A LOS AUTÓNOMOS Y PYMES LA ANULACIÓN DE SAFE HARBOR (PUERTO SEGURO) SOBRE TRANSFERENCIAS INTERNACIONALES DE DATOS

bla bla Guard Guía del usuario

- Cabrá considerar que la legislación de protección de datos no es aplicable en los supuestos en los que los. Gabinete Jurídico

Tratamientos de datos prohibidos por Ley Orgánica de Protección de Datos

GUIÓN DE LAS ACCIONES BÁSICAS PARA EL CUMPLIMIENTO DE LA LOPD

MANUAL DE AYUDA HERRAMIENTA DE APROVISIONAMIENTO

PLAN DE MÉTRICAS EN OCHO PASOS

El artículo 45 del Reglamento antes citado, desarrolla este precepto, precisando lo siguiente:

Informe final de evaluación del seguimiento de la implantación de títulos oficiales

Informe final de evaluación del seguimiento de la implantación de títulos oficiales GRADO EN FUNDAMENTOS DE LA ARQUITECTURA

1º) El título oficial de Médico Especialista en Medicina Familiar y Comunitaria fue creado a través del Real Decreto 3303/1978, de 29 de diciembre,

Transcripción:

Anexo XVII Caso práctico sobre las infracciones y sanciones de la LOPD Álvaro Gómez Vieites

CONTENIDO INFORMACIÓN SOBRE LAS EMPRESAS MUEBLIBAÑO Y MUEBLICOCINA... 1 PREGUNTAS SOBRE EL CASO... 4 SOLUCIÓN PROPUESTA... 5

ANEXO XVII CASO PRÁCTICO SOBRE LAS INFRACCIONES Y SANCIONES DE LA LOPD Se presenta en este apartado un caso práctico preparado por el autor para analizar el régimen de infracciones y de sanciones aplicables en caso de incumplimiento de algunos de los preceptos de la LOPD. Se trata de un caso inventado, en el que se incluyen datos totalmente ficticios sobre empresas y personas físicas 1, pero que se basa en otros ejemplos reales de sanciones impuestas en estos últimos años por la Agencia de Protección de Datos en España. INFORMACIÓN SOBRE LAS EMPRESAS MUEBLIBAÑO Y MUEBLICOCINA Doña Elisa Fernández creó hace 15 años en Vigo una pequeña empresa familiar, Mueblibaño, S.L., dedicada a la comercialización e instalación de muebles de baño. El crecimiento de su negocio en estos últimos años le animó a poner en marcha una nueva actividad en el año 2003 dedicada a la comercialización e instalación de muebles de cocina, y por motivos fiscales decidió hacerlo creando una nueva sociedad limitada con su propio CIF, denominada Mueblicocina, S.L.. Las dos sociedades comparten las instalaciones, el personal (los empleados están contratados por las dos sociedades), así como todos los recursos informáticos y 1 Cualquier parecido con la realidad es mera coincidencia.

2 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA RA-MA aplicaciones informáticas de la empresa. No obstante, conviene destacar que a efectos legales se trata de dos personas jurídicas distintas (cada una con su propio CIF), por lo que en lo sucesivo las trataremos como dos empresas que configuran un grupo empresarial. Tras haber leído alguna noticia sobre la necesidad de proteger los datos personales y la severidad de las sanciones impuestas en España por la Agencia Española de Protección de Datos, la gerente de estas dos empresas decidió interesarse por el tema y encargó a uno de sus empleados que realizase los trámites para cumplir con los requisitos formales exigidos por la Ley Orgánica de Protección de Datos. De este modo, el empleado responsable de esta tarea procedió a inscribir en el Registro General de Protección de Datos los ficheros de clientes y de proveedores de las empresas Mueblibaño, S.L. y Mueblicocina, S.L. a principios del año 2003. La gerencia consideró que no sería necesario inscribir más ficheros, ya que los datos de los empleados para la confección de las nóminas estaban en poder de la asesoría laboral Labora, S.L., a la que se había subcontratado dicho trabajo. No obstante, los datos necesarios para la confección de las nóminas, así como la información sobre los porcentajes de retención del I.R.P.F. a practicar a cada empleado en función de su situación personal y familiar (uno de los empleados de estas empresas presenta una pequeña discapacidad, que debe ser tenida en cuenta para el cálculo del porcentaje de retención del I.R.P.F.) son enviados por correo electrónico a la asesoría laboral, en un fichero de Excel sin encriptar. Por otra parte, en algunos de los proyectos realizados, y con el fin de transmitir una mayor confianza de cara al cliente, la gerencia adoptó la política de presentar una breve reseña curricular de cada uno de los empleados que participarían en la instalación, adaptación y montaje de los muebles, destacando su formación y años de experiencia en el sector. Para poder dar a conocer los productos de sus empresas a un mayor público objetivo, en noviembre de 2004 la gerencia decide poner en marcha un nuevo Website para las dos empresas, ofreciendo nuevos servicios a sus clientes y potenciales clientes. De este modo, se incorpora un vistoso catálogo con amplia información sobre los distintos productos ofrecidos, destacando la calidad y esmerado cuidado en el proceso de instalación y montaje. Para ello, y con objeto de ganar la confianza del potencial cliente, se incluyen fotografías de los empleados en la ejecución de distintos proyectos de montaje de muebles. En este Website también se incluye un interesante servicio para los clientes que han solicitado un presupuesto a alguna de las dos empresas, consistente en el acceso mediante un nombre de usuario y una contraseña a una zona restringida con información sobre sus presupuestos y el seguimiento del estado de sus pedidos (cuándo se instalarán los muebles, en qué situación se encuentra cada una de las partes del pedido, cuál ha sido el presupuesto finalmente aceptado, etcétera).

RA-MA ANEXO XVII: CASO PRÁCTICO SOBRE INFRACCIONES Y SANCIONES DE LA LOPD 3 Para informar de la existencia de este nuevo Website, la gerencia decide llevar a cabo un mailing a todas las personas que tiene registradas como clientes en la base de datos compartida por las dos empresas. La carta será remitida en nombre de las dos empresas (figurarán los logos y los datos de identificación de ambas empresas), y además se incluirá en el texto información detallada relativa a los proyectos que se realizaron en su día para cada uno de los clientes. Por otra parte, la gerencia encarga a uno de sus empleados que prepare un nuevo listado de potenciales clientes de determinadas calles de Vigo donde se han construido recientemente nuevos edificios y bloques de viviendas, para que también se pueda enviar información personalizada a cada una de estas personas que podrían estar interesadas en los productos ofrecidos por Mueblibaño y Mueblicocina. Para ello, el empleado accede a un directorio telefónico informatizado del año 2002 y selecciona más de 200 personas que figuran como residentes en las calles propuestas por la gerencia. Sin embargo, una vez realizado el mailing a la base de clientes compartida por las dos empresas, así como al listado obtenido de potenciales clientes extraído del directorio telefónico del año 2002, la empresa recibe una comunicación de la Agencia de Protección de Datos en la que se le informa que se han recibido sendas denuncias en este organismo por un tratamiento de datos no consentido, realizadas por dos personas destinatarias del mailing. Tras realizar las oportunas averiguaciones, resulta que una de estas personas es un antiguo cliente que quedó descontento con la instalación y montaje de los muebles en un proyecto realizado hace un par de años, mientras que el otro denunciante es una de las personas seleccionadas a través del listín telefónico, que se había dado de baja del mismo en el año 2003 para no recibir publicidad. La situación se complica para Mueblibaño y Mueblicocina por un grave problema de seguridad en su Website. Por desconocimiento y un cierto desinterés del responsable de informática de estas dos empresas, propiciado en parte porque la gerencia tampoco concede ningún valor a este tipo de actividades ( es un gasto poco útil para nuestra empresa, que no contribuye a mejorar las ventas ni la relación con nuestros clientes ) no se han venido actualizando los parches de seguridad publicados por Microsoft y otros fabricantes de software. Por ello, el servidor Web de la empresa presenta un importante agujero de seguridad, que fue aprovechado por un hacker para tomar el control de este servidor y facilitar el acceso sin ningún tipo de restricción a sus contenidos a cualquier usuario de Internet. Como consecuencia de este problema de seguridad, los datos de los clientes y de los proyectos en curso estuvieron abiertos en Internet y al alcance de cualquier usuario de la Red. Este grave problema de seguridad desemboca en una inspección de oficio por parte de la Agencia de Protección de Datos, debido a que la noticia sobre el incidente de seguridad se publica en un medio de comunicación local. Por último, un ex-empleado de Mueblibaño y Mueblicocina también decide presentar una denuncia ante la Agencia de Protección de Datos por haber sido

4 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA RA-MA incluida su foto en el catálogo Web de estas dos empresas, y haber sido entregada una reseña de su currículum vitae como parte de la información incluida en la oferta presentada a diversos clientes de estas empresas. La inspección llevada a cabo por la Agencia de Protección de Datos pone de manifiesto que en los impresos en papel y formularios Web donde se recaban datos de carácter personal no se informa a los interesados de que sus datos personales van a ser sometidos a un tratamiento informático por parte de alguna de las dos empresas del grupo. Asimismo, se constata en esta inspección que no existe un registro de incidencias ni un registro de entradas y salidas de soportes, y que apenas se han implantado medidas de seguridad lógica en la red local de estas dos empresas (control de accesos a las carpetas y los ficheros). Por otra parte, se ha descuidado totalmente la política de contraseñas, hasta el punto de que varios usuarios comparten la misma contraseña o conocen la de sus compañeros para poder acceder a sus equipos informáticos. PREGUNTAS SOBRE EL CASO A la vista de los hechos anteriormente expuestos, se pide al grupo de trabajo resolver las siguientes cuestiones: 1. Identificar las distintas infracciones cometidas por estas dos empresas, de acuerdo con lo dispuesto en la Ley Orgánica de Protección de Datos. 2. Determinar la cuantía de las sanciones que impondría la Agencia Española de Protección de Datos como consecuencia de las infracciones anteriormente señaladas, considerando que, por tratarse de la primera vez que se sanciona a estas dos empresas y que el volumen de datos personales afectados no fue muy elevado, la Dirección de la Agencia decidiese aplicar las sanciones mínimas previstas por la LOPD para cada tipo de infracción.

RA-MA ANEXO XVII: CASO PRÁCTICO SOBRE INFRACCIONES Y SANCIONES DE LA LOPD 5 SOLUCIÓN PROPUESTA Infracciones cometidas por cada una de estas dos empresas: No se inscribe el fichero de nóminas en el RGPD. Este fichero incluye datos de nivel alto (información sobre posibles minusvalías a efectos del cálculo de la retención del IRPF de los trabajadores de la empresa). La infracción se considera leve => Sanción aplicable: 601. Incumplimiento de las Medidas de Seguridad: Los datos con la información necesarios para la confección de las nóminas se envían sin encriptar a la asesoría laboral. La empresa no ha tenido en cuenta la adecuada configuración y revisión de los parches de seguridad de su servidor Web, y como consecuencia los datos de los clientes quedan expuestos durante unas horas en Internet al alcance de cualquiera que los desee consultar. No se ha realizado un contrato con la asesoría laboral en el que se incluyan las cláusulas exigidas por la LOPD para garantizar la adecuada protección de los datos personales objeto de un tratamiento por cuenta de un tercero. No existe un registro de incidencias ni un registro de entradas y salidas de soportes, y apenas se han implantado medidas de seguridad lógica en la red local de estas dos empresas (control de accesos a las carpetas y los ficheros). Se ha descuidado totalmente la política de contraseñas. Por todas estas circunstancias, la infracción se considera grave => Sanción aplicable: (aunque el cúmulo de circunstancias que concurren en este caso particular podría ser tenido en cuenta para elevar la cuantía de la sanción finalmente impuesta). Se produce una cesión de datos de clientes de la empresa 1 a la empresa 2, sin que exista un consentimiento por parte de las personas afectadas. De hecho, dado que ambas comparten la misma base de datos de clientes, la empresa 2 realiza un mailing a clientes pertenecientes a la empresa 1 (sin que estos clientes hayan dado su consentimiento para que se pueda producir tal cesión de datos).

6 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA RA-MA La infracción se considera muy grave => Sanción aplicable: 300.506. En la campaña de lanzamiento del Website de la empresa 1 se lleva a cabo un mailing a un listado de clientes de la empresa y a un listado de clientes de la empresa 2. Los datos de clientes de la empresa 2 están siendo tratados por la empresa 1 sin haber recibido su consentimiento expreso. La infracción se considera grave => Sanción aplicable: 60.101. Para completar el mailing citado en el párrafo anterior, se emplea un listado de potenciales clientes extraído de un directorio telefónico del año 2002. Dado que el listado procede de un directorio telefónico de hace un par de años, y ya se han publicado directorios actualizados desde entonces, ha perdido su carácter de fuente de acceso público. Por ello, el tratamiento de los datos de las personas que no figuren en el directorio telefónico actualizado se considera un tratamiento de datos no consentido (como es el caso para el ciudadano que se dio de baja del directorio en el año 2003, y que ha presentado la denuncia en la Agencia de Protección de Datos). La infracción se considera grave => Sanción aplicable: 60.101. El Website de la empresa incluye fotografías de la oficina y del almacén, así como algunas fotografías de los empleados claramente identificados trabajando. Por otra parte, se ha incluido una reseña curricular de los empleados en algunas de las ofertas presentadas a los clientes de la empresa. Nuevamente se trata de un tratamiento de datos no consentido por el interesado, que excede de lo estrictamente necesario como consecuencia de la relación laboral.

RA-MA ANEXO XVII: CASO PRÁCTICO SOBRE INFRACCIONES Y SANCIONES DE LA LOPD 7 La infracción se considera grave 2 => Sanción aplicable: 60.101. Por último, la empresa no ha venido informando a los clientes y potenciales clientes que sus datos personales iban a ser sometidos a un tratamiento informatizado, tal y como exige la LOPD. En este caso se trata de una infracción leve => Sanción aplicable: 601. 2 La entrega de la reseña curricular a los clientes también podría ser considerada una cesión de datos no consentida, por lo que en ese caso estaríamos ante una infracción muy grave.

8 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA RA-MA Procedimiento sancionador contra la empresa Mueblibaño : Infracción 1: no inscripción de un fichero de datos personales de nivel alto Infracción 2: incumplimiento de las medidas de seguridad que toda organización con ficheros de datos de carácter personal deben implantar Infracción 3: cesión de datos de clientes a la empresa Mueblicocina no consentida por los interesados Infracción 4: tratamiento no consentido de datos de clientes de la empresa Mueblicocina Infracción 5: tratamiento no consentido de datos de personas que ya no figuran en una fuente accesible al público Infracción 6: tratamiento no consentido de datos de los empleados, que excede de lo estrictamente necesario por la relación laboral existente 601 300.506 Infracción 7: incumplimiento del deber de información 601 TOTAL 542.112 Procedimiento sancionador contra la empresa Mueblicocina : Infracción 1: no inscripción de un fichero de datos personales de nivel alto Infracción 2: incumplimiento de las medidas de seguridad que toda organización con ficheros de datos de carácter personal deben implantar Infracción 3: cesión de datos de clientes a la empresa Mueblibaño no consentida por los interesados Infracción 4: tratamiento no consentido de datos de clientes de la empresa Mueblibaño Infracción 5: tratamiento no consentido de datos de personas que ya no figuran en una fuente accesible al público Infracción 6: tratamiento no consentido de datos de los empleados, que excede de lo estrictamente necesario por la relación laboral existente 601 300.506 Infracción 7: incumplimiento del deber de información 601 TOTAL 542.112

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback