En el procedimiento sancionador PS/00517 de la AEPD podemos ver la sanción que puede sufrir una empresa si no toma las medidas necesarias para asegurarse de que se cumplen las medidas de seguridad descritas en el Documento de Seguridad.

Según los hechos, fue un ciudadano el que alertó a la Policía Local de que documentación con datos personales se encontraba en un contenedor de basura. 

En la inspección se comprobó que dicha documentación estaba en un contenedor de residuos orgánicos correspondiente a una gestoría. 

Dicha gestoría tenía inscritos los ficheros en la AEPD, disponía de Documento de Seguridad en regla y todo el personal había sido instruido sobre las medidas de seguridad instauradas, así como los procedimientos a llevar a cabo para el tratamiento de los datos.  

Dichos documentos habían terminado en el cubo de la basura por descuido de una persona de limpieza, que había vaciado en el cubo de basura documentación que debía destruirse previamente. 

Este hecho infringe los artículos 9 y 10, relativos a la seguridad de los datos y al deber de secreto. 

Resultado: Sanción de 4.000€ por vulneración del artículo 9 de la LOPD, relativo a la seguridad de los datos.

 

IMPORTANTE

No es suficiente con detallar perfectamente las medidas de seguridad en el Documento de Seguridad. Además, han de cumplirse

 

 

 

 

 

 

Según establece la Ley, cualquier persona podrá conocer, recabando para ello la información oportuna del Registro General de Protección de Datos (RGPD) de:

 

  • La existencia de tratamientos de datos de carácter personal,

  • sus finalidades, y

  • la identidad del responsable del tratamiento.

    El Registro General es de consulta pública y gratuita.

    El catálogo de ficheros inscritos en el RGPD, se puede consultar en la web de la Agencia Española de Protección de Datos (www.agpd.es).

    Para realizar la consulta únicamente es necesario introducir la razón social o el CIF de la empresa que se desea consultar, mostrándose entonces, los ficheros que tiene notificados, así como de detalle de los mismos.

    Esta consulta no necesita de ningún tipo de acreditación para realizarse, pudiendo hacerse en cualquier momento, por cualquier persona y de forma anónima.

 

 

En el procedimiento sancionador PS/00328 de la AEPD podemos ver la sanción que puede sufrir una empresa si el cartel informativo de zona videovigilada no cumple con los requisitos formales establecidos.

Según los hechos, la Policía Municipal de Madrid denuncia la instalación de cámaras de videovigilancia en el establecimiento ATOLÓN, titularidad de INVERSIONES ALABARDERO SL, sin cumplir los requisitos exigidos en la LOPD.

 

Los responsables del local presentaron documentación en la que se hace constar que la instalación de las cámaras de seguridad ha sido efectuada por la entidad "Securitas Direct", así como un CD con fotografías de los carteles instalados en el establecimiento, y en las mismas se puede apreciar que el cartel instalado recoge: "Securitas Direct. Instalación Protegida. Camaras de videovigilancia 24 horas" y un número de teléfono.

 

Sin embargo, según la AEPD, dicho cartel no es conforme a la normativa en materia de protección de datos, porque omite un dato fundamental en la medida en que no recoge la identidad del responsable del fichero ante el que ejercitar los derechos de acceso, rectificación, cancelación, y oposición reconocidos en los arts. 15 y siguientes de la LOPD, así como la referencia a la "Ley Orgánica 15/1999, de Protección de Datos".

 

Resultado: Sanción de 2.000€ por vulneración del artículo 5.1 de la LOPD, relativo al derecho de información. 

 

IMPORTANTE

 

El cartel informativo debe incluir la identidad del responsable del fichero y el domicilio ante el cual pueden ejercerse los derechos de acceso y cancelación de las imágenes.

 

 

 

 

 

El informe

0046 de la AEPD resuelve la consulta planteada sobre el tratamiento de datos personales de los menores de edad a los que se facilita una tarjeta de fidelización.

De dicho informe jurídico se extrae lo siguiente:

a) Si es un menor de 14 años ó incapaz, el consentimiento ha de ser otorgado por los padres.

b)

la cláusula informativa debe estar elaborada en un lenguaje comprensible a la edad del menor.

c)

No se podrán recabar del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos, o cualesquiera otros, sin el consentimiento de los titulares de tales datos (únicamente podrán recabarse los datos de la identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado a).

d)

Corresponde al responsable del fichero articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

Para cumplir correctamente la LOPD, cuando se va un trabajador a la entidad, debemos realizar las siguientes acciones:

1. Eliminar o marcar la fecha de baja de este usuario en la lista de usuarios y accesos autorizados, de forma que ya no conste en el documento de seguridad como usuario autorizado para acceder a los ficheros con datos personales.

2. Eliminar o bloquear el identificador que tenía asignado para el acceso a los sistemas.

3. Dar de baja las autorizaciones que tuviera ese trabajador para sus funciones:

a. Salida de soportes y/o documentos fuera de las instalaciones.

b. Uso de portátiles.

c. Trabajo fuera de los locales.

d. Dispositivos a los que tiene acceso.

e. Etc.

4. Cancelar todos los privilegios de ese trabajador así como las conexiones remotas que tuviera habilitadas.

En la resolución

R/01306 de la AEPD podemos ver la sanción que puede sufrir una entidad por no tener implantadas las medidas de seguridad exigidas.

Con fecha 29 de marzo de 2010 tiene entrada en la AEPD un escrito de D. A.A.A., en el que declara que, la empresa HIPERCOR, S.A., no cuenta con las medidas de seguridad oportunas con relación a información de datos clínicos, ya que desde dos terminales ubicados en el muelle de recepción de mercancías, donde tiene su puesto de trabajo, se pueden visualizar, entre otros, análisis clínicos de trabajadores de la empresa.

Durante la visita de las inspectoras de la AEPD, el denunciante accede a un equipo informático que está en el muelle, observándose que aunque el sistema pide un usuario y contraseña para acceder, el usuario sale ya por defecto, y la contraseña es la misma que el nombre de usuario.

Se puede además comprobar que desde ese equipo, a través de la red local es posible acceder a carpetas que están situadas en el equipo de la Jefa de Recursos Humanos del centro, en concreto es posible acceder a una carpeta denominada "Servicio Médico" y que contiene los resultados analíticos de los empleados del centro.

A las 15:30 horas, las inspectoras de la Agencia y los representantes de la entidad, se trasladan al muelle, verificándose que ha sido subsanado el error.

Resultado: Sanción de 20.000 € por vulneración del artículo 9.1 de la LOPD en relación a las medidas de seguridad.

Fuente AEPD

Hay un artículo en el RD1720/2007 que pasa casi desapercibido pero que es de una enorme importancia a la hora de elegir el encargado del tratamiento por parte del responsable del fichero:

Art. 20.2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

Es decir, que antes de seleccionar un encargado del tratamiento, como el asesor fiscal, empresa de mantenimiento informático, Hosting, etc. debemos comprobar –en la medida de lo posible- que está cumpliendo la LOPD.

Pero, ¿y qué puede hacer el responsable para comprobar que el encargado cumple con la normativa vigente en protección de datos personales?

Pues fundamentalmente dos cosas:

 Comprobar que tiene notificados los ficheros a la AEPD a través de su página web (www.agpd.es).

 Solicitarle un documento firmado y sellado por el encargado en el cuál manifieste de forma expresa que dispone de Documento de Seguridad y cumple con normativa vigente en protección de datos personales.

"Como Responsables de Fichero, debemos conformar el contrato de encargado del tratamiento antes de que comience la prestación del servicio"

Constituye una infracción leve la transmisión de datos a un encargado del tratamiento sin dar cumplimiento a los deberes que establece el art. 12 de la LOPD, con sanción de entre 900 y 40.000€.

 

 

Se debe hacer un contrato de acceso a datos por cuenta de terceros con los encargados del tratamiento, es decir, con todas las empresas externas que accedan, puedan acceder ó suministremos datos personales con la finalidad de prestarnos un servicio.

Estos son algunos de los encargados del tratamiento que pueden existir:

·         Consultora de la LOPD.

·         Mantenimiento informático de hardware y/o videovigilancia.

·         Proveedor/soporte de software.

·         Servicio de prevención de riesgos laborales y de la vigilancia de la salud.

·         Asesoría laboral, fiscal y/o contable.

A TENER EN CUENTA

Con la empresa de limpieza,  seguridad, o cualquier otra que con motivo de su desempeño pudiera tener acceso a datos personales aunque no sea este su cometido,  también debe hacerse un contrato de prestación de servicio sin acceso a datos

 

·         Consultora de calidad, medioambiente, SGSI, etc.

·         Certificadora de la norma de calidad, medioambiente, SGSI, etc.

·         Proveedor de alojamiento y/o correo electrónico.

·         Diseño web, comercio electrónico, etc.

·         Organizadora y/o impartidora de formación para los trabajadores.

·         Envío de mailings.

Una pregunta que hacen muchos clientes es: de qué forma puedo limitar el acceso a los equipos, de forma que los usuarios únicamente accedan a los recursos necesarios para su trabajo.

Existen diversas maneras de identificación y autenticación del usuario en función del mecanismo o tecnología que se aplique.

Podemos clasificar los sistemas en estos tipos:

·         Sistemas basados en algo que el usuario conoce (contraseña).

·         Sistemas basados en algo que el usuario posee (DNI electrónico, token, etc.).

·         Sistemas basados en una característica física del usuario, también denominados biométricos (reconocimiento de huella dactilar, voz, rostro, patrón ocular, etc.).

·         Sistemas mixtos, que combinan dos o más de los descritos anteriormente.

En caso de que utilicemos el sistema más extendido, a través de contraseñas, para garantizar la seguridad se debe realizar una correcta gestión de las mismas:

·         Evitar todas aquellas contraseñas deducibles por terceros y asociadas a parámetros comunes del usuario (fechas de nacimiento, nombre de familiares, matrículas de coches, aficiones, etc.).

·         Emplear al menos 6 caracteres combinando mayúsculas, minúsculas, números y otros caracteres especiales.

·         Establecer la periodicidad de cambio de las contraseñas a menos de 1 año.

·         Limitar el número de intentos fallidos de acceso al sistema.

A TENER EN CUENTA

 

No tener implantadas las medidas de seguridad es una infracción grave, con sanción de entre 40.001 y 300.000€.

 

El informe 0191/2010 de la AEPD aclara el plazo de conservación de los informes de auditoría que exige la LOPD para los ficheros de nivel medio y alto.

De dicho informe jurídico se extrae lo siguiente:

·         A partir de nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa.

·         Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

·         Teniendo en cuenta los plazos de prescripción y de obligación de sometimiento a la auditoría, el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años.

·         Solo existe la obligación de guardar el último informe de auditoría.

IMPORTANTE

No realizar la obligada auditoría en los plazos que marca la Ley es una infracción grave, con sanción de entre 40.001 y 300.000€.