BOLETÍN INFORMATIVO DIGITAL - LOPDAT Nº6: Enero- Abril 2009
1.
Introducción: NUEVO BOLETÍN INFORMATIVO DE PROTECCIÓN DE DATOS EN FORMATO DIGITAL.
Nuevo boletin telemático de LOPDAT

Con el comienzo del año 2009, desde LOPDAT queremos seguir ofreciendo nuestro boletín informativo de protección de datos, pero en un nuevo formato digital.

En esta nueva versión seguiremos tratando los temas de actualidad, resaltando sobre todo el apartado de sanciones, ya que es el mejor referente para ver la aplicación real de la ley, y los errores en el tratamiento de datos que generan una sancion.

Hemos esperado a enviarlo, para poder informar de lo ocurrido en la 2ª Sesión Anual Abierta de la Agencia Española de Protección de datos, que tuvo lugar en Madrid el 28 de enero del 2009 y a la que LOPDAT asistió.

En este boletín se tratan los siguientes temas:

  • Ayuda por parte de la Agencia Española de Protección de Datos.
  • Sanciones en Galicia a finales del 2008 y comienzos del 2009.
  • Obligación de demostrar el cumplimiento de la Ley.
  • El deber de informar si se ceden datos.
  • 2ª Sesión Anual Abierta de la Agencia Española de Protección de datos.

 

subir

2.
Tema principal del boletÍn: Ayuda de la AGPD ante consultas
Puede solicitar informacion en:
  • ciudadano@agpd.es
  • 901 100 099
  • C\ Jorge Juan 6 - 28001 Madrid

Las finalidades de la Agencia Española Española de Proteccion de Datos estipuladas en la propia Ley Orgánica 15/1999 sobre Protección de Datos de Carácter personal son:

General:

  • Velar por el cumplimiento de la legislación de protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

En relación con los afectados:

  • Atender a sus peticiones y reclamaciones.
  • Informar sobre los derechos reconocidos en la Ley.
  • Promover campañas de difusión a traves de los medios.

En relación con los que tratan datos:

  • Emitir autorizaciones previstas en la ley.
  • Requerir medidas de corrección.
  • Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de datos.
  • Ejercer la potestad sancionadora.
  • Recabar la ayuda e información que precise.
  • Autorizar las transferencias internacionales de datos.

Como se puede observar, solo tiene como finalidad especifica informar a los afectados sobre los derechos que les reconoce la ley, sin embargo, las entidades que tratan datos, no tienen el amparo de la Agencia para solucionar dudas que se les puedan plantear sobre la actual legislación.

De hecho, cualquier consulta realizada a la Agencia como responsable o encargado del tratamiento de datos, no es solucionada por el gabinete júridico de la misma, sino que se aconseja a dicho responsable que consulte la legislación en vigor.

El problema radica en el desamparo que tienen las empresas a la hora de cumplir la legislación sobre protección de datos, ya que algunos apartados no estan suficientemente desarrollados o claros.

Por eso, en la 1ª Jornada sobre proteccion de datos organizada por la Agencia Española de Protección de Datos que tuvo lugar en el 2008 en Madrid, esta se vió desbordada en cuanto a la cantidad de consultas realizadas.

Sería interesante que la Agencia dedicara recursos a establecer un canal de comunicación específico para la resolución de dudas por parte de los responsables de tratamiento de datos, ya qué por ignoracia o una mala interpretación de la legislación, se puede estar cometiendo una infracción que acabará repercutiendo en una importante sanción.

En la 2ª Sesión Anual Abierta de la Agencia Española de Protección de datos, se ha visto un cambio de tendencia:

  1. Editar una guía de ayuda para el Documento de Seguridad.
  2. Mencion expresa d el director de la Agencia a que la jornada se enfocaba a ayudar a las empresas que tratan datos y a las que gestionan la adaptación de las mismas.

subir

3.
sanciones sobre protecciÓn de datos: Últimas sanciones en Galicia
En los medios es frecuente ver alguna noticia relacionada con una sanción por protección de datos.

A pesar de no tener una Agencia de Protección de datos propia como en Cataluña o el Pais Vasco, eso no quiere decir que las infracciones por protección de datos queden inmpunes en las demás comunidades.

A finales del 2008 y comienzos del 2009 se realizarón, entre otras, las siguientes actuaciones sancionadoras por parte de la Agencia Española de Proteccion de datos:

  • Recientemente se publicó en un importante diario la siguiente noticia: "La Xunta de Galicia podría pagar hasta 600.000 euros por publicar datos de un lugués". Esto era debido a que se habian colgado en internet la información de caracter personal de solicitantes de ayudas por discapacidad. A mediados del 2006 el denunciante tecleo su nombre y apellidos en un buscador de internet, y aparecian sus datos a través de la prestación de discapacidad que recibía su mujer, ya que la Xunta lo exponía en su página web, sin ningun tipo de filtros, es mas, tambien aparecia dicho listado en diferentes webs, entre otras de sindicatos. El afectado solicitó la retidada de sus datos, pero ante la nula respuesta decidio interponer una denuncia ante la Agencia Española de Protección de Datos. Dos años mas tarde se puede sancionar a la correspondiente conselleria con una multa de entre 300.506, 06 y 601.012.10 euros ya que "el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de datos de caracter personal estan obligados al secreto profesional de los mismos y al deber de guardarlos".
  • En el 2008 se sancionó a un comercio debido a un boleto que había que rellenar para participar en un sorteo. La infracción se cometió al no ser el propio comercio el que realizó el sorteo, sino una empresa contratada para que realizará el sorteo y que fué la que se puso en contacto con los "ganadores". Esto aplicando la ley, fué una cesion ilegal, ya en ningun momento se informó a las personas que cubrian el boleto, que sus datos serian tratados por una entidad distinta al comercio. La sanción fué cercana a los 9000 euros.
  • En enero del 2009, y tras una denuncia realizada por un sindicato la Agencia Española de Protección de Datos ha iniciado un procedemiento sancionador contra una importante superficie comercial. El motivo de tal denuncia es la colocación (reconocida por la empresa) de varias cámaras de videovigilancia para poder corroborar si los empleados fumaban y comian en horario laboral, sin informar a los trabajadores y a sus representantes legales.

... y muchas más que se pueden consultar en la página de la Agencia: www.agpd.es, en su apartado de resoluciones.

subir

4.
Consejos sobre la LOPD: cómo demostrar el cumplImiento de la LOPD

En el Documento de Seguridad de Protección de Datos, se incluyen diferentes contratos y formularios, que debemos firmar con asesorias, empresas de informática, etc, para poder dirimir responsabilidades y garantizar en todo momento la confidencialidad en el tratamiento de datos.

Además de esto, el otro pilar en la implantación de la Ley de Protección de Datos radica en informar a los afectados que se están tratando sus datos de caracter personal, que estos estan incluidos en ficheros de tratamiento automatizado, si estos datos van a ser cedidos, la finalidad del tratamiento de estos datos y donde pueden ejercer sus derechos.

Toda documentación tiene como finalidad el poder demostrar que se cumple con la obligacion de informar al afectado sobre la gestión que se realiza de sus datos. En algunos apartados que se incluyen en formularios o contratos, se pide al afectado que los firme, como garantía de que se da por informado.

El RD 1720/2007 establece en algunas partes la obligación del Responsable del fichero de demostrar el cumplimiento de la ley:

  • de haber informado sobre el tratamiento de los datos.
  • de comprobar que sus encargados de tratamiento cumplen con la legislacion vigente.
  • de que el afectado ha podido ejercer correctamente los derechos con los que la ley lo ampara.

La aplicación de estas normas específicadas en el Documento de Seguridad, permiten demostrar el cumplimiento de la ley y la buena fe por parte del responsable del fichero en el tratamiento de datos.

subir

5.
Conozca mejor la Ley: deber de informar en la cesiÓn de datos

Un contrato por escrito es la mejor forma de demostrar el cumplimiento de los compromisos adquiridos para el tratamiento de datos.

Ya se ha analizado en este boletín lo importante que es informar al afectado de que sus datos van a ser cedidos a encargados de tratamiento o terceros con acceso a datos. En algunas relaciones comerciales y jurídicas la gestión de datos por parte de un tercero no se considera cesión, por lo que no es obligatorio el informar explícitamente al afectado de a quien se le envían los datos. El ejemplo más claro cuando contratamos una asesoría laboral para que realice la gestión de los contratos, nóminas y pagos a nuestros trabajadores, la relación comercial con esta es necesaria para el correcto funcionamiento de nuestra empresa, por lo que enviar datos de nuestros trabajadores no se considera cesión. Sin embargo, es conveniente informar a los mismos de que sus datos serán gestionados por terceros, siempre y cuando la finalidad sea la anteriormente descrita, e incluso es conveniente informar de cual es la asesoria concreta que gestiona sus datos.

Si la cesión de datos se realiza dentro de un marco jurídico que no es imprescindible para la correcta gestión de la empresa, entonces de debe informar de forma explicita al afectado de qué entidades gestionaran sus datos.

subir

6.
Actualidad: 2ª jornada sobre protecciÓn de datos en Madrid
"2ª jornada de protección de datos organizada por la Agencia Española de Protección de Datos "

El 28 de enero del 2009 se celebró la tercera edición del Día Europeo de la Protección de datos. Por este motivo, y debido al éxito de la 1ª, la Agencia Española de Protección de Datos convocó en esta fecha la 2ª Sesión Anual Abierta de Protección de Datos en el Audiorio de la Universidad Carlos III (Avenida de la Universidad, 30, 28911- Leganés) .

LOPDAT ha acudido esta jornada a la que estaba invitado cualquier profesional, empresario, institución o ciudadano. Se trataba de una sesión pública, abierta, gratuita y esencialmente práctica dirigida a resolver todas las dudas que pueda ofrecer la aplicacion de la actual legislación. Tambien se analizarón las principales novedades surgidas en el ultimo año en materia de protección de datos personales.

El programa fué el siguiente:

  • 09.00 h. RECEPCIÓN Y ACREDITACIÓN DE LOS ASISTENTES.
  • 10.00 h. APERTURA DEL ACTO
    • MARIANO FERNÁNDEZ BERMEJO (Ministro de Justicia).
    • ARTEMI RALLO LOMBARTE (Director de la Agencia Española de Protección de Datos).
  • 10.30 h. 1ª SESIÓN.
    • VIDEOVIGILANCIA Y PROTECCIÓN DE DATOS PERSONALES. Presentación de la Guía de Videovigilancia por IGNACIO GARCÍA -BELENGUER LAITA (Secretario General de la AEPD) y RICARD MARTÍNEZ MARTÍNEZ (Coordinador del Área de Estudios de la AEPD).
  • 11.15 h. INTERVENCIONES DE LOS ASISTENTES *
  • 12.15 h. DESCANSO.
  • 12.30 h. 2ª SESIÓN.
    • ENTREGA DE LOS "PREMIOS PROTECCIÓN DE DATOS 2008" .
    • PRINCIPALES NOVEDADES Y DESARROLLOS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES. CONSULTAS RELEVANTES REALIZADAS EN 2008 realizada por AGUSTÍN PUENTE ESCOBAR (Abogado del Estado-Jefe del Gabinete Jurídico de la AEPD).
    • PRINCIPALES CASOS DEL 2008 realizada por JOSÉ LÓPEZ CALVO (Subdirector de Inspección de la AEPD).
    • DESARROLLOS INTERNACIONALES por RAFAEL GARCÍA GOZALO (Coordinador del Área Internacional de la AEPD).
    • CONSULTAS DE LOS ASISTENTES. Respuestas planteadas por los asistentes en la solicitud de inscripción de la jornada, respondidas por JESÚS RUBÍ NAVARRETE (Adjunto al Director de la AEPD).
  • 13.15 h. INTERVENCIONES DE LOS ASISTENTES *
  • 14.30 h. CLAUSURA.

* Turno de preguntas en el que los asistentes pueden plantear dudas sobre la legislación en protección de datos. En el segundo turno LOPDAT planteó las siguientes cuestiones:

  1. Responsabilidad del RESPONSABLE DEL FICHERO si un empleado roba datos, a pesar de todas las medidas de seguridad impuestas: Inicialmente el RESPONSABLE DEL FICHERO tiene como deber garantizar el secreto de los datos y asumir dicha responsabilidad. En caso de un proceso sancionador por este motivo, de demostrarse que se tomarón todas las medidas necesarias para garantizar el secreto, la posible sanción puede ser reclamada al usuario desleal.
  2. Los cambios en CIF de los RESPONSABLES DE LOS FICHEROS generados por nuevas normas tributarias, necesitan un cambio en la inscripción de los ficheros en el Registro General de Protección: inicialmente por este motivo no es necesario un cambio, y la Agencia estudiará hacerlo de oficio.

AVANCE: En el próximo boletín informativo desarrollaremos mucho más los contenidos tratados en esta Sesión Abierta.

subir

 

Este Boletín no es imprimible. El medioambiente nos lo agradecerá.

AVISO IMPORTANTE: De conformidad con lo establecido en la Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la Información y del Correo Electrónico, le comunicamos que en el supuesto de que no desee seguir recibiendo las comunicaciones e informaciones que viene recibiendo mediante este sistema de comunicación electrónica, nos lo indique con un correo a derechoslopd@grupoisonor.es de esta forma sus datos personales serán dados de baja de nuestra base de datos. Su solicitud será accionada en un plazo de 10 días desde su envío. En el supuesto de que no recibamos contestación expresa por su parte, entenderemos que acepta y autoriza que nuestra empresa siga realizando las referidas comunicaciones. Este mensaje se dirige exclusivamente a su destinatario y puede contener información privilegiada o confidencial. Si no es vd. el destinatario indicado, queda notificado de que la utilización, divulgación y/o copia sin autorización está prohibida en virtud de la legislación vigente

En cumplimiento de la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal, le indicamos que los datos personales que Ud. nos facilita de forma voluntaria, van a ser incorporados a ficheros automatizados de tratamiento de datos. Dichos ficheros tienen como su única finalidad la gestión profesional(1) por parte del GRUPO ISONOR a través de las empresas que forman parte de dicho grupo(2) las cuales son titulares de dichos ficheros. Los datos pueden ser cedidos a encargados de tratamiento, empresas colaboradoras y administraciones públicas. Si desean ejercer el derecho de acceso, rectificación, cancelación y oposición, dirijan un escrito a: GRUPO ISONOR. Avenida de Lugo 145 Bajo, 15703 Santiago de Compostela, en el Fax: 981.062.597 o en el correo electrónico: derechoslopd@grupoisonor.es

(1)Gestión de clientes, realización de propuestas, gestión contable y fiscal, elaboración de facturas y propuestas, gestión de recursos humanos. (2) ISONOR QUALITY, S.L - INVERGEST PROYECT XXI, S.L - LOPDAT PROTECCION DE DATOS - ADVANCED SYSTEMS PUNTOBIT, S.L.

Grupo Isonor (www.grupoisonor.es * Tel 902 202 145 * info@grupoisonor.es )