Cuando se incorpora un trabajador a la entidad, debemos realizar las siguientes acciones:

1.      Identificar el perfil al que pertenece ese usuario y, si es necesario, crear un perfil nuevo para él si no existe perfil adaptado a su tratamiento.

2.      Incorporar este usuario a la lista de usuarios y accesos autorizados, de forma que conste en el documento de seguridad los ficheros a los que va a tener acceso de forma efectiva.

3.      Crearle un identificador único para el acceso a los sistemas y una contraseña personal.

4.      Crearle las autorizaciones que precise ese trabajador para sus funciones:

a.      Salida de soportes y/o documentos fuera de las instalaciones.

b.      Uso de portátiles.

c.       Trabajo fuera de los locales.

d.      Dispositivos a los que tiene acceso.

e.      Etc.

5.      Darle a firmar el compromiso de confidencialidad y deber de secreto.

 

6.      Darle una formación LOPD relacionada con sus funciones.  

 

El informe 00376 de la AEPD resuelve la consulta planteada sobre si el servicio que se suministra a una empresa de recuperación de impagados se ajusta a la normativa de protección de datos.

 

La consulta en concreto se plantea sobre si la localización de teléfonos de morosos se adecúa a la LOPD, así como de la situación que se produce cuando dicha empresa contacta con un teléfono que no corresponde al deudor y para realizar la verificación de la identidad, se facilita el DNI del deudor y el importe de la deuda.

 

De dicho informe jurídico se extrae lo siguiente:

 

  1. La compañía que le busca el teléfono es encargada del tratamiento de la primera. Por tanto, debe de existir un contrato de acceso a datos por cuenta de terceros entre ambas.

  2. Siempre y cuando la búsqueda del teléfono sea en fuentes accesibles al público, no precisa del consentimiento de los titulares de los datos.

 

Es este supuesto, la comunicación de datos a una persona distinta al titular de los datos, si no existe  previo consentimiento del interesado, sería contrario a lo previsto en la LOPD.

 

 

La LOPD establece que el Documento de Seguridad deberá mantenerse actualizado, de forma que refleje en todo momento la realidad de la organización.

 

A tal efecto, deberemos estar atentos a los siguientes cambios para actualizar el Documento de Seguridad:

 

  • Usuarios que acceden a los ficheros.

  • Modificaciones en los procedimientos.

  • Encargados del tratamiento y servicios prestados.

  • Equipamiento informático.

  • Actualizaciones/instalaciones de software.

  • Incidencias que se produzcan.

  • Personas autorizadas para salidas de soportes, uso de portátiles, etc.

  • Administradores de los ficheros y responsables de seguridad.

  • Comenzamos a recoger datos que antes no se recogían (ej. Correo electrónico de los clientes).

    Nuevos soportes que deban incluirse en el inventario de soportes y documentos.

 

 

En el procedimiento sancionador PS/00517 de la AEPD podemos ver la sanción que puede sufrir una empresa si no toma las medidas necesarias para asegurarse de que se cumplen las medidas de seguridad descritas en el Documento de Seguridad.

Según los hechos, fue un ciudadano el que alertó a la Policía Local de que documentación con datos personales se encontraba en un contenedor de basura. 

En la inspección se comprobó que dicha documentación estaba en un contenedor de residuos orgánicos correspondiente a una gestoría. 

Dicha gestoría tenía inscritos los ficheros en la AEPD, disponía de Documento de Seguridad en regla y todo el personal había sido instruido sobre las medidas de seguridad instauradas, así como los procedimientos a llevar a cabo para el tratamiento de los datos.  

Dichos documentos habían terminado en el cubo de la basura por descuido de una persona de limpieza, que había vaciado en el cubo de basura documentación que debía destruirse previamente. 

Este hecho infringe los artículos 9 y 10, relativos a la seguridad de los datos y al deber de secreto. 

Resultado: Sanción de 4.000€ por vulneración del artículo 9 de la LOPD, relativo a la seguridad de los datos.

 

IMPORTANTE

No es suficiente con detallar perfectamente las medidas de seguridad en el Documento de Seguridad. Además, han de cumplirse

 

 

 

 

 

 

Según establece la Ley, cualquier persona podrá conocer, recabando para ello la información oportuna del Registro General de Protección de Datos (RGPD) de:

 

  • La existencia de tratamientos de datos de carácter personal,

  • sus finalidades, y

  • la identidad del responsable del tratamiento.

    El Registro General es de consulta pública y gratuita.

    El catálogo de ficheros inscritos en el RGPD, se puede consultar en la web de la Agencia Española de Protección de Datos (www.agpd.es).

    Para realizar la consulta únicamente es necesario introducir la razón social o el CIF de la empresa que se desea consultar, mostrándose entonces, los ficheros que tiene notificados, así como de detalle de los mismos.

    Esta consulta no necesita de ningún tipo de acreditación para realizarse, pudiendo hacerse en cualquier momento, por cualquier persona y de forma anónima.

 

 

En el procedimiento sancionador PS/00328 de la AEPD podemos ver la sanción que puede sufrir una empresa si el cartel informativo de zona videovigilada no cumple con los requisitos formales establecidos.

Según los hechos, la Policía Municipal de Madrid denuncia la instalación de cámaras de videovigilancia en el establecimiento ATOLÓN, titularidad de INVERSIONES ALABARDERO SL, sin cumplir los requisitos exigidos en la LOPD.

 

Los responsables del local presentaron documentación en la que se hace constar que la instalación de las cámaras de seguridad ha sido efectuada por la entidad "Securitas Direct", así como un CD con fotografías de los carteles instalados en el establecimiento, y en las mismas se puede apreciar que el cartel instalado recoge: "Securitas Direct. Instalación Protegida. Camaras de videovigilancia 24 horas" y un número de teléfono.

 

Sin embargo, según la AEPD, dicho cartel no es conforme a la normativa en materia de protección de datos, porque omite un dato fundamental en la medida en que no recoge la identidad del responsable del fichero ante el que ejercitar los derechos de acceso, rectificación, cancelación, y oposición reconocidos en los arts. 15 y siguientes de la LOPD, así como la referencia a la "Ley Orgánica 15/1999, de Protección de Datos".

 

Resultado: Sanción de 2.000€ por vulneración del artículo 5.1 de la LOPD, relativo al derecho de información. 

 

IMPORTANTE

 

El cartel informativo debe incluir la identidad del responsable del fichero y el domicilio ante el cual pueden ejercerse los derechos de acceso y cancelación de las imágenes.

 

 

 

 

 

El informe

0046 de la AEPD resuelve la consulta planteada sobre el tratamiento de datos personales de los menores de edad a los que se facilita una tarjeta de fidelización.

De dicho informe jurídico se extrae lo siguiente:

a) Si es un menor de 14 años ó incapaz, el consentimiento ha de ser otorgado por los padres.

b)

la cláusula informativa debe estar elaborada en un lenguaje comprensible a la edad del menor.

c)

No se podrán recabar del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos, o cualesquiera otros, sin el consentimiento de los titulares de tales datos (únicamente podrán recabarse los datos de la identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado a).

d)

Corresponde al responsable del fichero articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

Para cumplir correctamente la LOPD, cuando se va un trabajador a la entidad, debemos realizar las siguientes acciones:

1. Eliminar o marcar la fecha de baja de este usuario en la lista de usuarios y accesos autorizados, de forma que ya no conste en el documento de seguridad como usuario autorizado para acceder a los ficheros con datos personales.

2. Eliminar o bloquear el identificador que tenía asignado para el acceso a los sistemas.

3. Dar de baja las autorizaciones que tuviera ese trabajador para sus funciones:

a. Salida de soportes y/o documentos fuera de las instalaciones.

b. Uso de portátiles.

c. Trabajo fuera de los locales.

d. Dispositivos a los que tiene acceso.

e. Etc.

4. Cancelar todos los privilegios de ese trabajador así como las conexiones remotas que tuviera habilitadas.

En la resolución

R/01306 de la AEPD podemos ver la sanción que puede sufrir una entidad por no tener implantadas las medidas de seguridad exigidas.

Con fecha 29 de marzo de 2010 tiene entrada en la AEPD un escrito de D. A.A.A., en el que declara que, la empresa HIPERCOR, S.A., no cuenta con las medidas de seguridad oportunas con relación a información de datos clínicos, ya que desde dos terminales ubicados en el muelle de recepción de mercancías, donde tiene su puesto de trabajo, se pueden visualizar, entre otros, análisis clínicos de trabajadores de la empresa.

Durante la visita de las inspectoras de la AEPD, el denunciante accede a un equipo informático que está en el muelle, observándose que aunque el sistema pide un usuario y contraseña para acceder, el usuario sale ya por defecto, y la contraseña es la misma que el nombre de usuario.

Se puede además comprobar que desde ese equipo, a través de la red local es posible acceder a carpetas que están situadas en el equipo de la Jefa de Recursos Humanos del centro, en concreto es posible acceder a una carpeta denominada "Servicio Médico" y que contiene los resultados analíticos de los empleados del centro.

A las 15:30 horas, las inspectoras de la Agencia y los representantes de la entidad, se trasladan al muelle, verificándose que ha sido subsanado el error.

Resultado: Sanción de 20.000 € por vulneración del artículo 9.1 de la LOPD en relación a las medidas de seguridad.

Fuente AEPD

Hay un artículo en el RD1720/2007 que pasa casi desapercibido pero que es de una enorme importancia a la hora de elegir el encargado del tratamiento por parte del responsable del fichero:

Art. 20.2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

Es decir, que antes de seleccionar un encargado del tratamiento, como el asesor fiscal, empresa de mantenimiento informático, Hosting, etc. debemos comprobar –en la medida de lo posible- que está cumpliendo la LOPD.

Pero, ¿y qué puede hacer el responsable para comprobar que el encargado cumple con la normativa vigente en protección de datos personales?

Pues fundamentalmente dos cosas:

 Comprobar que tiene notificados los ficheros a la AEPD a través de su página web (www.agpd.es).

 Solicitarle un documento firmado y sellado por el encargado en el cuál manifieste de forma expresa que dispone de Documento de Seguridad y cumple con normativa vigente en protección de datos personales.

"Como Responsables de Fichero, debemos conformar el contrato de encargado del tratamiento antes de que comience la prestación del servicio"

Constituye una infracción leve la transmisión de datos a un encargado del tratamiento sin dar cumplimiento a los deberes que establece el art. 12 de la LOPD, con sanción de entre 900 y 40.000€.