1.
INTRODUCCIÓN: LA AEPD publica una guia de la proteccion de datos en las relaciones laborales
En la web de la Agencia Española de Protección de Datos está disponible una guía sobre la Protección de Datos en las relaciones laborales.

En la página Web de la Agencia Española de Protección de Datos podemos descargar una guía en la que la Agencia repasa los apartados más importantes del tratamiento de datos en las relacione laborales.

Se recuerdan, matizan y actualizan los tratamientos de datos más habituales en el entorno laboral.

La analizan las siguientes cuestiones::

  1. Cuestiones generales: En que supuestos no apliacamos la LOPD, como deben inscribirse los ficheros y los criterios para la cancelación y bloqueo de datos.
  2. Recursos Humanos: La información sobre el tratamiento de datos y como realizar todo el proceso. Las consideraciones sobre datos especialmente protegidos como denuncias internas, contratación de seguros de vida y pensiones. La externalización de la gestión de nóminas.
  3. La Prevención de Riesgos Laborales: El consentimiento para el tratamiento, los protagonistas de la P.R.L y el acceso a dato por parte de la empresa y delegados de prevención.
  4. Controles empresariales: controles basados en el uso de tecnologíaas de la información y controles sobre absentismo laboral.
  5. Relaciones con los Sindicatos: Los tableros de anuncios.
  6. Deberes de los trabajadores que acceden a datos: secreto y seguridad.

 

subir

2.
tema principal del boletÍn: 10 años de lopd
  • Hace 10 años que entró en vigor la Ley Orgánica 15/99 de Protección de Datos de Carácter Personal.

 

El 14 de enero se cumplen se cumplen 10 años de la entrada en vigor
de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), que nació con el objetivo de hacer frente a los riesgos que para los derechos de la personalidad pueden suponer el acopio, tratamiento y utilización de datos personales, y garantizar y proteger los derechos de los ciudadanos.

La actual Ley Orgánica 15/1999, de 13 de diciembre de Protección de datos de carácter personal adaptó nuestro ordenamiento a lo dispuesto por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, derogando a su vez la hasta entonces vigente LORTAD, Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de datos de carácter personal.
En esta andadura, se ha producido además la aprobación, en el año 2007, del Reglamento (1720/2007) de desarrollo de la LOPD, con el objetivo de lograr una mayor seguridad jurídica y conseguir una mayor claridad en la aplicación de la norma y a adaptar sus previsiones a la realidad existente en la actualidad.

Según las estadísticas de la propia Agencia sólo el 20 % de las empresas se encuentra implantada y apenas el 50 % de los españoles conoce la Agencia , y solo su apartado sancionador

Dentro de esta onomástica la AEPD ha desarrollado diferentes actividades de las cuales damos cuenta en este boletín:

  1. Guía del tratamiento de datos en las relaciones laborales.
  2. Aplicación para la evaluación del grado de cumplimiento de la LOPD.
  3. Catálogo de buenas prácticas para usuarios de Internet.

Y durante este año se esperan modificaciones para dirimir los conflictos existentes entre la LOPD y la nueva ley Omnibus.

subir

3.
SANCIONES SOBRE PROTECCIÓN DE DATOS: gradualidad de las sanciones
El que una empresa cierre para pagar una multa no la excusa según la AEPD

Uno de los aspectos más criticados en la legislación sobre  protección de datos y spames la inexistencia de criterios subjetivos que gradúen las sanciones, es decir, que se tenga en cuenta al sancionado como individualidad.

La LSSI, que estipula que se tendrán en cuenta los siguientes criterios:

  • a) La existencia de intencionalidad.
  • b) Plazo de tiempo durante el que se haya venido cometiendo la infracción.
  • c) La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme.
  • d) La naturaleza y cuantía de los perjuicios causados.
  • e) Los beneficios obtenidos por la infracción.
  • f) Volumen de facturación a que afecte la infracción cometida.

Pero esto no tiene en cuenta el poder económico del sancionado, ya que no debería ser lo mismo que la infracción la cometa un autónomo con 30 clientes que una multinacional con millones de euros de facturación.

Varios medios de comunicación se hacen eco de la empresa sancionada en el Procedimiento Sancionador 00119/2009 de 5 de junio de 2009; y de lo que argumenta la AEPD en la Resolución respondiendo a los alegatos de la empresa para no ser sancionada:“El hecho de que ARISTA sea una pequeña empresa que de resultar sancionada tendría que cerrar las puertas dejando a varias familias en el desempleo, no puede ser atendido para la graduación de la sanción por no tratarse de uno de los criterios recogidos en el mencionado artículo 40 de la LSSI”.

Pero es que esta empresa envío 457.868 faxes de publicidad no consentida. La empresa fue sancionada con 30.000 €

subir

4.
Consejos sobre LOPD: La configuracion correcta de su sistema informático

En la Ley Orgánica 15/99 de Protección de Datos de Carácter Personal ya se establece que se debe realizar una auditoría del estado de implantación o cumplimiento de la misma en todas aquellas empresas cuyo nivel de seguridad de alguno de sus ficheros sea medio o bajo por lo menos cada dos años.

Dentro de los parámetros a auditar está la correcta configuración del sistema informático para garantizar la confidencialidad, la seguridad y la integridad de los datos.

Las normas establecidas no solo nos garantizan el cumplir la Ley, sino que nos aportan tranquilidad sobre el tratamiento de datos que se realiza, independientemente de si son o no de carácter personal, ya que los trabajos denominados generalmente "técnicos" son importantes para el correcto funcionamiento de la empresa.

Vamos a recordar algunas:

  1. Identificación y autentificación: básicamente se reduce que cada persona física debe tener un usuario informático para acceder a la información, de tal manera que se pueda seguir el rastro del tratamiento de datos. Además cada usuario debe acceder sólo a la información que necesita dentro de sus tareas.
  2. Contraseñas: cada usuario informático debe tener una contraseña para acceder al sistema. Debemos encontrar un equilibrio entre contraseñas seguras y fáciles de recordar, ya que si se establecen muy obvias, por ejemplo usuario: pepe, contraseña: pepe son las primeras en probarse, o si se establecen muy complicadas, por ejemplo usuario: pepe; contraseña: K6dirn393-Ldos, se acaban anotando y dejándolas a la vista.Los criterios de seguridad son los siguientes:
    1. entre 6 u 8 caracteres.
    2. que combinen 3 de estos 4 grupos: mayúsculas, minúsculas, números y símbolos.
  3. Además de cambiarse periódicamente, ya que una contraseña estadistícamente después de un año es muy probable que sea conocida.
  4. Intentos fallidos de acceso: debemos establecer que después de un número de intentos fallidos de acceso al ordenador, este quede bloqueado y que esa intrusión la registre el sistema.
  5. Bloqueo del terminal: se debe poder bloquear la sesión de un usuario siempre que el quiera, o sino automáticamente estableciendo que el protector de pantalla requiera la contraseña para reanudar.
  6. Información en el acceso: opcionalmente se puede introducir un texto recordando las normas del tratamiento de datos cada vez que el usuario inicie la sesión.
  7. Copia de seguridad: se debe realizar una copia de seguridad, documentar el como se hace y almacenar un soporte fuera de las instalaciones, ya que si por alguna razón se destruyen las instalaciones, también se destruirá la copia, por lo que no podríamos recuperar la información. La periodicidad de la copia viene marcada por nuestra capacidad de introducir a mano los datos que faltan, aunque generalmente se recomienda semanal

subir

5.
Conozca mejor la Ley: auditoría de protección de datos.

 

Enlazando con lo anterior, documentamos la obligación a realizar auditorias sobre el estado de la implantación de la LOPD. En el RD 1720/2007 se establece:

Artículo 96. Auditoría.

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas

 

subir

6.
Actualidad: ¿INCOMPATIBILIDAD DE LA LEY OMNIBUS CON EL RD 1720/2007?
La nueva "Ley OMNIBUS" crea un conflicto en la videovigilancia

El pasado 27 de diciembre de la Ley 25/2009 conocida como Ley Omnibus puede suponer un conflicto con la Ley de Seguridad Privada en el apartado de legitimar el tratamiento de las imágenes captadas por un gran número de cámaras de videovigilancia o por el contrario de suponer que miles de estas cámaras se encuentran actualmente infringiendo la LOPD.

Todo radica en que el RD 1720/2007 establece que para la instalación de un sistema de videovigilancia debemos contar con una empresa autorizada,  (inscripción en el Registro de la empresa y comunicación del contrato al Ministerios del Interior), así las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de videovigilancia.

Esta situación que garantizaba la correcta instalación de las cámaras para no vulnerar nuestra intimidad y un control sobre los sistemas de grabación se ha visto modificada por la entrada en vigor de la reforma de esta LSP operada por la Ley 25/2009 de 22 de diciembre (conocida como Ley Omnibus) que tiene una disposición adicional sexta :

“DISPOSICIÓN ADICIONAL SEXTA. Exclusión de las empresas relacionadas con equipos técnicos de seguridad.

Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”

Esto quiere decir que desde el 27 de diciembre de 2009 es posible la instalación de cámaras de vigilancia,  que si no están conectadas a centrales de alarma, no necesitan cumplir con la legislación sobre seguridad privada, es decir, sin que se les aplique la LSP.

Esperemos que pronto se resuelva este conflicto de intereses.

subir