lopd

Lo que la LOPD se llevó

    Guardado en Categoria Modelo, Nueva LOPD, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

Cuando una nueva ley entra en vigor se produce todo un maremoto de rumores y alarmas que es convenientemente aprovechado para generar negocio. Pero, ¿cuánto me cambia la vida la nueva LOPD? ¿Es realmente nueva? ¿Cómo me afecta si ya he realizado una adaptación al Reglamento europeo?

Lo primero que debemos destacar es la influencia de Internet y más concretamente de las redes sociales en el articulado. No solo por la inclusión expresa de los derechos digitales, sino también porque el uso generalizado de estas redes ha planteado nuevas situaciones que carecían de una respuesta legal satisfactoria, como es el caso de las publicaciones de personas ya fallecidas.

Por otra parte, esta ley sustituye y concreta el contenido del Reglamento Europeo, notablemente ambiguo en su redacción, y que ya había suprimido la exigencia del registro de ficheros de datos personales. Así por ejemplo, todo lo relativo a las definiciones y principios relativos al tratamiento de datos personales son un trasunto de la normativa europea, al igual que los derechos de los interesados. Por tanto, todas las empresas y entidades que ya hayan realizado una adecuada adaptación al Reglamento Europeo no van a ver alterada sustancialmente su operativa más allá de algunos retoques en sus políticas  o protocolos internos o la obligatoria designación de un delegado de protección de datos.

También se ha destacado el elevado número de leyes que se han visto modificadas por la aparición de la nueva Ley Orgánica 3/2018, de 5 de diciembre, desde la Ley Orgánica 5/1985 del Régimen Electoral General – y su ya muy conocido artículo 58.bis, que será objeto de otro post – a las leyes procesales, como la Ley de Enjuiciamiento Civil o de la Jurisdicción Contencioso Administrativa. Centrándonos hoy en el sector sanitario, destacan las previsiones en lo relativo a la gestión de las historias clínicas.

En la Ley 14/1986, de 25 de abril, General de Sanidad se introduce un nuevo articulo 105 bis en el Capítulo II relativo al tratamiento de datos de la investigación en salud:El tratamiento de datos personales en la investigación en salud se regirá por lo dispuesto en la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Por su parte, la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica se ve modificada en su artículo 16.3 relativo a los usos de la historia clínica»

  1. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y enla Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clinicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clinicoasistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.

Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos.

En este ámbito sanitario, nuestra LOPD da un paso más en relación con la exigencia del nombramiento de un Delegado de Protección de Datos y así, mientras el Reglamento europeo nada especificaba en su artículo 37 , nuestra LOPD obliga a su designación para:

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

Por tanto, todos los centros sanitarios están obligados a nombrar un delegado de protección de datos en los términos de los artículos 34 y siguientes, salvo que ejerzan su actividad a título individual.

¿Puede mi empresa recoger mi huella digital para control horario?

    Guardado en BLOG, EMPRESA, PRIVACIDAD, PROTECCION DATOS, SEGURIDAD PRIVADA    |    1 Comentario

En los últimos meses hemos asistido a la transición desde el tradicional sistema de control horario mediante tarjetas a la instalación de lectores de huella digital de los trabajadores, encontrando en el mercado numerosos productos y aplicaciones, cuestión que por extendida no deja de plantear cierta inquietud entre los interesados en cuanto a su legalidad y proporcionalidad.

Dos serían las cuestiones a analizar al respecto; en primer lugar, si el uso de la huella digital de los trabajadores debe someterse a los requisitos de la LOPD y, en segundo lugar, de ser afirmativa la respuesta, cuáles son los requisitos legales que debe cumplir la empresa para su correcta utilización.

La Agencia Española de Protección de Datos (AEPD) ha definido el concepto de dato biométrico como  “aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.”.

Por su parte, el artículo 3.a) LOPD define el dato personal como “cualquier información concerniente a personas físicas identificadas o identificables”, concepto que se ve ampliado por el artículo 5.1.g) RD 1720/2007 al definirlo como “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Así pues, dado que el tratamiento de los datos biométricos ya definidos permite la identificación del sujeto, no cabe duda de que dicho tratamiento debe someterse a las especificaciones de la LOPD.

Siendo las huellas digitales datos personales, la pregunta es ¿cuál es su nivel de sensibilidad y, por tanto, qué nivel de seguridad debe aplicarse? Ha entendido la AEPD que los datos biométricos simplemente identifican al sujeto, pero no aportan ningún aspecto concreto de su personalidad, por lo que su tratamiento no tendrá mayor trascendencia que el de los datos relativos a un número de identificación personal.

Además, en lo relativo a las medidas de seguridad en el tratamiento, debe señalarse que, como se ha indicado en cuanto al dato biométrico de la huella digital, el mismo no puede ser considerado en modo alguno dato especialmente protegido o sensible, por lo que resultarán de aplicación al tratamiento las medidas de seguridad de nivel básico.

La AEPD considera que su uso para el control horario de los trabajadores es ajustado a la LOPD siempre que se respete el principio de proporcionalidad, en los términos establecidos por el Tribunal Constitucional, dado que el tratamiento de los datos de carácter personal supone, tal y como consagra en su Sentencia 292/2000, de 30 de noviembre, una limitación del derecho de la persona a disponer de la información referida a la misma.

Ahora bien, ¿qué requisitos deben cumplirse para su correcta utilización?

En primer lugar, se plantea si es necesario contar con el consentimiento de los trabajadores. La AEPD en su Instrucción 324/09 manifiesta que “si bien el artículo 6.1 de la LOPD exige el consentimiento del interesado para el tratamiento automatizado de los datos de carácter personal, el artículo 6.2 prevé que no será preciso el consentimiento cuando los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento (…)”.

Por tanto, una empresa puede tratar dichos datos sin recabar el previo consentimiento de los afectados, ya que, en este caso, el citado tratamiento tendría su origen en la necesidad de asegurar el debido cumplimiento de las obligaciones derivadas de la relación laboral que vincula a los trabajadores con la empresa, siendo por tanto de aplicación el artículo 6.2 de la LOPD.

Visto lo anterior, debe precisarse que si bien no es necesario recabar el consentimiento de los trabajadores para realizar el tratamiento de referencia, sí resulta legalmente exigible que la empresa cumpla con las obligaciones relativas a la creación y notificación del preceptivo fichero, así como con el deber de informar a los trabajadores en los términos contenidos en el artículo 5.1 de la LOPD.

En cuanto a la obligación de informar a los trabajadores en los términos contenidos en el artículo 5.1 de la LOPD, bastará con que en el momento de recabar la huella digital de cada empleado, se le haga entrega de un clausulado o aviso legal con toda la información legalmente preceptiva en los términos indicados. Finalmente, debe tenerse en cuenta que será indispensable que la empresa pueda acreditar en todo momento que ha informado a sus trabajadores.

Juzgados gallegos: con datos y a lo loco

    Guardado en BLOG, ESQUEMA NACIONAL SEGURIDAD, PROTECCION DATOS    |    Sin comentarios

La Agencia de Protección de Datos ha dado un tirón de orejas a la Xunta de Galicia en su resolución 639/2011. Sin control de los permisos de acceso a los expedientes judiciales por parte de los usuarios, sin registro de accesos – al tratarse de ficheros de nivel alto-, sin destrucción segura de la documentación en papel, sin auditoría alguna, sin medidas de seguridad…con datos y a lo loco. Claro que si esto ocurriese en una empresa privada, hablaríamos de sanciones económicas de hasta 300.000 euros.

Para consultar la resolución completa, haz click aquí:

https://www.agpd.es/portalwebAGPD/resoluciones/admon_publicas/ap_2011/common/pdfs/AAPP-00084-2010_Resolucion-de-fecha-26-04-2011_Art-ii-culo-9-LOPD.pdf

Geolocalizado por mi Smartphone

    Guardado en BLOG, INTERNET, PRIVACIDAD, PROTECCION DATOS    |    1 Comentario

Desde que hace unos días saltó la noticia en un diario británico de que Iphones y Ipads, ambos dispositivos de Apple, recogían datos de geolocalización del usuario sin su conocimiento ni consentimiento, el revuelo mediático ha dado lugar a una investigación por parte del Congreso de Estados Unidos. Actualmente la investigación oficial ya abarca a Nokia, Microsoft, RIM y HP y el próximo día 10 de mayo Apple y Google tendrán que comparecer ante el Congreso americano para dar explicaciones. Todo ello sin contar las posibles acciones legales emprendidas por usuarios indignados. Por el momento dos usuarios de Apple han denunciado a la compañía ante los tribunales. De este modo saltó a la luz algo que venía ocurriendo desde junio de 2010, fecha en que se comercializa el sistema operativo IOS4.

Tras la negativa inicial de Apple y después de admitir al menos un almacenamiento temporal de la información, se rumorea (de hecho en McRumours) que Steve Jobs pasó a la acusación en forma de “y tú más” dirigida contra Google y su sistema operativo y directo competidor, Android. Y acertó, ya que además en el caso de los dispositivos Android parece que se produce no sólo la recogida de datos de geolocalización del usuario, sino también su envío a Google.

Huelga decir que la recogida y grabación de datos de geolocalización no obedece a la preocupación de las empresas por evitar nuestro extravío, sino que los servicios de localización sirven para la prestación de servicios personalizados, en concreto,  comerciales y publicitarios.

Según lo publicado por el Wall Street Journal, estas bases de datos podrían suponer para estas compañías tomar el mercado de servicios de bases de datos de localización, mercado estimado en 2,9 billones (sí, sí, con B) de dólares y que, según Gartner Inc., se estima que alcance un valor de 8,3 billones de dólares en el 2014.

A día de hoy Apple rectifica obligada por la presión legal y mediática. Así hemos pasado paradójicamente de la negativa categórica a la rectificación pública. De este modo se anuncia que el fichero que recoge los datos, consolidated.db, puede ser borrado en la nueva versión si se desactiva por el usuario la función de geolocalización. De este modo, el interesado puede elegir si tal recogida de datos se produce o no.

Los datos de localización geográfica vinculados a un usuario son sin duda datos personales y, por tanto, sometidos a todos los requisitos y exigencias legales contenidas en la LOPD y su Reglamento 1720/2007, en cuyo artículo 81.4 se exige la aplicación de la medida de seguridad de seguridad alto consistente en la implantación de un registro de acceso y su conservación durante al menos dos años en relación con el fichero de datos de tráfico y localización:

A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este reglamento.”

Dichos datos de localización, sea cual sea el soporte en que se recogen y difunden, requieren protección mediante medidas de seguridad que garanticen el respeto al derecho de privacidad y, por supuesto, la información necesaria al usuario o consumidor que le permita saber quién, dónde y para qué recoge dichos datos. Lo contrario, no sólo implica una intromisión ilegítima en la privacidad, sino también una vulneración de la LOPD,  impidiendo al interesado ejercer sus derechos de acceso, rectificación, cancelación y muy especialmente el de oposición al tratamiento de la información de geolocalización con fines comerciales. Por no hablar del riesgo que para la seguridad de personas – como pueden ser cargos públicos, políticos, etc.- supone su difusión o su acceso por terceros. Sin duda habrá quien argumente las elevadas medidas de seguridad con las que se custodia esa información, pero en este punto a Sony me remito.


Nuevas Tecnologías y Seguridad Privada: Reconocimiento Facial

    Guardado en BLOG, EMPRESA, PRIVACIDAD, SEGURIDAD PRIVADA    |    Sin comentarios

En el día de hoy publica el periódico El País la siguiente noticia: “Tecnología de casino para policías”. Al leerla recordé la pregunta que recientemente me hizo un alumno en un curso sobre Seguridad Privada y Nuevas Tecnologías: “¿esas cámaras que reconocen caras y que se utilizan en la serie americana de televisión Las Vegas realmente existen?”. La respuesta fue afirmativa.

El reconocimiento facial se basa en la técnica de video inteligente partiendo de las imágenes captadas por cámaras de seguridad o CCTV y es efectivamente en el sector de la seguridad privada donde este sistema dio sus primeros pasos. Partiendo del dato de que la observación continua realizada por una persona decae notablemente transcurridos unos 22 minutos se desarrollan los sistemas de video inteligente con la finalidad de completar y facilitar la vigilancia humana.

Así, las imágenes captadas por las cámaras de seguridad son procesadas con un software que permite identificar ciertos patrones, como comportamientos, movimientos o eventos inesperados, así como reconocer siluetas humanas.  Sus aplicaciones en el sector privado hasta el momento abarcan desde la protección de instalaciones frente a intrusiones hasta el control horario de empleados, pasando por sistemas de acceso a sistemas informáticos o a áreas restringidas, llegando incluso a la posibilidad de su uso comercial, de modo tal que el cliente habitual es automáticamente reconocido sin necesidad de identificación documental adicional. Tal vez este sea el uso menos conocido, dado que permitiría incluso el registro de las visitas del cliente y, por tanto, sus hábitos de compra. De nuevo nos encontramos con el siempre pantanoso terreno de la finalidad comercial de los datos personales.

Es en su vertiente de medio de identificación donde más se ha extendido su uso a otros sectores empresariales que necesitan asegurar la correcta identificación de sus clientes o usuarios para evitar fraudes y los consiguientes costes económicos y de imagen.

Debe recordarse que en todo caso ha de cumplirse con las garantías y las medidas de seguridad aplicables al fichero que constituye la base de datos de parámetros faciales de acuerdo con las exigencias de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo 1720/2007.

Olvida mi nombre…

    Guardado en BLOG, INTERNET, PRIVACIDAD, PROTECCION DATOS    |    Sin comentarios

Olvida mi nombre, decía aquella canción interpretada por una pareja en constante discusión. Olvida mi nombre, mi cara, mi casa…Eran sin duda otros tiempos en los que bastaba con romper una foto o eliminar un número de nuestro teléfono móvil para borrar a alguien de nuestra memoria. Pero hoy las cosas han cambiado. La Red es una amante despechada que ni perdona que le hayamos dado los mejores datos de nuestra vida para pretender marcharnos después ni olvida nuestro nombre, nuestra cara, nuestra casa, como tampoco nuestro correo electrónico, nuestro teléfono, nuestras fotos, etc. Y  mucho es lo que le hemos facilitado o lo que sabe de nosotros; datos identificativos, fotografías más o menos personales,  sentencias, multas, sanciones, embargos…

No cabe duda de que todo el mundo quiere entrar, pero qué pasa con los que quieren salir, con aquellos que quieren desaparecer de los buscadores, de las redes sociales, los que quieren que se olvide su nombre.

Con el poético nombre de derecho al olvido se denomina el derecho a poder desaparecer de la memoria informática colectiva. No aparece regulado como tal en nuestro Derecho, pero puede articularse a través del ejercicio del derecho de cancelación que nos concede la LOPD 15/99 en su artículo 16. Esto significa que cualquier persona puede dirigirse por escrito al responsable del fichero en el que constan nuestros datos personales solicitando su supresión, la cual deberá efectuarse en un plazo máximo de diez días, con la única salvedad de su conservación para el cumplimiento de obligaciones legales y durante el plazo de prescripción de estas, en cuyo caso deberán ser debidamente bloqueados para impedir su acceso.

Así pues, el derecho al olvido aparece como el derecho a la cancelación de nuestros datos personales, aun legítimamente obtenidos, y de este modo hacer realidad el derecho de todo ciudadano a disponer de la información de que es titular,  hacer efectivo su derecho a la privacidad.

A día de hoy la memoria colectiva tiene un nombre: Internet, y un apellido, Google, el mayor y más utilizado buscador en el mundo, el más popular distribuidor de enlaces.

En España vivimos a día de hoy la interesante y novedosa confrontación entre el derecho a la privacidad representada por la Agencia Española de Protección de Datos (AEPD) y el derecho a la libre difusión de información personificado en Google. La AEPD, principal garante del derecho a la privacidad, ha entablado una cruzada judicial sin precedentes en todo el mundo contra el gigante de los buscadores en defensa del derecho al olvido, del derecho de una persona a que se cancelen sus datos en Internet.

Todo ello tiene su origen en las solicitudes dirigidas a Google por la AEPD para eliminar de su índice las  referencias a personas concretas tanto en boletines oficiales como en diarios de noticias.  Google se ha negado a ello alegando que deben ser las fuentes de esas referencias quienes procedan a su eliminación.

Y es que podemos ejercitar nuestro derecho de cancelación, podemos dirigirnos  a una empresa en concreto y pedir que borre nuestra información y nuestros contenidos, pero lo que ya no es tan fácil es borrar nuestro rastro en la red, controlar los inconmensurables reenvíos y enlaces, limitar su efecto multiplicador.

La Comisión Europea ya ha tomado cartas en el asunto encabezada por la vicepresidenta de la Comisión y responsable de Justicia, Viviane Reding. Se trata de que se recojan los mínimos datos de los usuarios, que éstos sepan quién los guarda, con qué finalidad y durante cuánto tiempo, de modo que el interesado recupere el control de su privacidad mediante el ejercicio efectivo de sus derechos de acceso, rectificación y supresión de contenidos en Internet.  Por eso anuncia que antes del verano presentará una propuesta legislativa para proteger el derecho al olvido y establecer además la denominada privacidad por defecto, es decir, que los datos de los usuarios no puedan procesarse sin consentimiento previo.

Del mismo modo que hace años alguno juraba que jamás tendría un teléfono móvil y hoy suspira por un smartphone de última generación,  debemos asumir que las redes sociales han llegado para quedarse y cambiar nuestra forma de relacionarnos, personal y profesionalmente, y que Internet es una herramienta simplemente imprescindible a todos los niveles. A día de hoy se ha transformado el aforismo legal quod non est in actis non est in mundo (lo que no está en los autos no está en el mundo) en un quod non est in Internet non est in mundo. Llevados por el deseo de tener existencia en el mundo social y virtual son muchos los datos que entregamos a la Red. Sin embargo,  es tan legítima nuestra pretensión de figurar como la de querer desaparecer, especialmente en aquellos casos en que no es por propia voluntad, como en archivos o boletines cuando el motivo ya no tenga interés público. Todos tenemos derecho a olvidar y, por qué no, a que nos olviden.