Páginas

miércoles, 29 de febrero de 2012

Publicidad utilizando bases de datos de colegios profesionales



Las listas de personas pertenecientes a grupos profesionales, que contengan únicamente los datos sobre la actividad profesional de sus integrantes, tienen consideración de fuentes accesibles al público. Esto significa que cualquier persona no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación, puede acceder libremente a los datos allí expuestos. Los colegios profesionales pueden ceder la base de datos de sus colegiados con fines publicitarios y/o prospección comercial siempre que el envío tenga una relación directa con el ejercicio profesional o se ha recabado previamente el consentimiento del interesado.
Las bases de datos que ofrecen los colegios sobre sus colegiados es una de las pocas excepciones que marca la legislación vigente en la que no es obligatorio de obtener consentimiento expreso por parte del afectado para el envío de publicidad y prospección comercial. Pero la empresa que envía publicidad si tiene la obligación de informar al interesado de:
  1. la procedencia de los datos personales del interesado.
  2. de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información.
  3. de la posibilidad de ejercitar los derechos de acceso, rectificación , cancelación y oposición.
  4. de la identidad y dirección del responsable del tratamiento o en su caso de su representante
  5. de las posibles cesiones de datos a terceros.
Además, la empresa debe obtener consentimiento tácito por parte del usuario para poder hacer envíos en el futuro. Para ello debe notificar al usuario de que si no procede a notificar en un plazo de 30 días a partir de la recepción del primer envío, la empresa entenderá que consiente el tratamiento de datos personales. Para ello deberá utilizar un medio sencillo y gratuito o por lo menos poco costoso como, un e-mail, un teléfono de atención al cliente, una dirección postal, etc.

Caso práctico - Cancelación formal de datos personales


Vamos a tratar un supuesto, en el que un cliente compró hace dos años un armario empotrado para su dormitorio. La empresa le llama continuamente por teléfono para ofrecerle nuevos productos en los que el cliente no está interesado, resaltándole muy molesto estar recibiendo este tipo de llamadas. ¿Qué puede hacer usted al respecto?
La LOPD reconoce a los ciudadanos los siguientes derechos relacionados con la protección de datos:
  • Acceso: derecho a recabar información de un responsable de un fichero acerca de los datos que están siendo objeto de tratamiento sobre su persona.
  • Rectificación: derecho a que se modifiquen los datos que resulten inexactos o incompletos.
  • Cancelación: derecho a que se supriman los datos inadecuados o excesivos.
  • Oposición: derecho a que no se lleve a cabo el tratamiento de sus datos o que se cese en el mismo en determinados supuestos.
  • Consulta al Registro General de Protección de Datos: derecho a conocer la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento.
  • Impugnación de valores: derecho a impugnar los actos administrativos o decisiones privadas que impliquen una valoración del comportamiento de cualquier ciudadano, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.
Los derechos ARCO (acceso, rectificación, cancelación y oposición) son las piezas centrales del sistema cautelar o preventivo instaurado por la LOPD y garantiza a la persona un poder de control sobre sus datos personales. Estos derechos son:
  • Personales: solamente el interesado puede ejercerlos frente al responsable del fichero.
  • Independiente: no puede entenderse que e ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.
  • Gratuito: en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan, aunque la AEPD ha aclarado este extremo estableciendo que no es imprescindible que sea gratuito, sino que basta con que no suponga un coste excesivamente elevado para el titular de los derechos, por tanto, se admite el email o el correo postal ordinario.
A la vista del caso que nos trata, debemos suponer que el afectado estará interesado en ejercer el derecho de cancelación. Esto dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, jueces, tribunales, para la atención de las posibles responsabilidades nacida del tratamiento, durante el plazo de prescripción de estas, con lo cual, los datos bloqueados no serán accesibles de forma ordinaria, por lo que la empresa no podrá realizar ningún tipo de comunicación de carácter comercial al afectado. Cumplido el citado plazo, la empresa deberá proceder a la supresión de los datos relacionados con el afectado, no debiendo quedar constancia de ellos en ningún soporte, ya sea informático o en papel.
El ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero. La empresa debería facilitar un medio gratuito como un teléfono de atención al público, una dirección postal, un e-mail, etc para que el usuario pueda contactar con la empresa. Para asegurar que la empresa recibe la comunicación, lo mejor es que el usuario realice una solicitud por escrito que debe contener los siguientes datos:
  • Nombre y apellidos del interesado.
  • Fotocopia del DNI, pasaporte u otro documento valido que lo identifique, y en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificativa del afectado eximirá de la presentación de las fotocopias del DNI o documento equivalente.
  • Petición en la que se concreta la solicitud.
  • Dirección a efectos de notificaciones.
  • Fecha y firma del solicitante.
  • Documentos acreditativos de la petición que formula, en su caso.
El afectado debe cuidar para que no falte ningún dato de los expuestos en la notificación. En el caso de que la solicitud no reúna los requisitos especificados, el responsable del fichero deberá solicitar la subsanación en un plazo de 10 días (el cómputo de los plazos se realiza desde el día de la recepción de la solicitud, refiriéndose a días hábiles).
El responsable del fichero resolverá sobre la solicitud de cancelación en el plazo máximo de 10 días a contar desde la recepción de la solicitud. Si los datos cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la cancelación efectuada al cesionario, en idéntico plazo para que este en le plazo de 10 días contados desde la recepción de dicha comunicación, proceda, asimismo, a cancelar los datos. La cancelación por el cesionario no requerirá comunicación alguna al interesado.
El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. Transcurrido el plazo, sin que la empresa de forma expresa responda a la petición, el afectado podrá interponer una reclamación ante la AEPD.
En la práctica se recomienda que el envío de contestación se realice mediante burofax certificado con acuse de recibo. Este es un medio más caro que otros más convencionales, pero se asegura que la empresa ha sido notificada, por lo que si esta no responde al envío de contestación, el afectado podrá probar ante la AEPD que la empresa no ha cumplido con la normativa vigente en materia de protección de datos.

Caso páctico - Inclusión no autorizada de datos personales en CIRBE


Vamos a tratar un supuesto caso en el que un cliente ha sido incluido en la Central de Información de Riesgos del Banco de España (CIRBE), debido a una deuda que tiene contraída con su entidad financiera. El cliente afirma que dicha inclusión no se le ha comunicado, ni figuraba contractualmente tal posibilidad para los casos de incumplimiento de deudas. Confirma que ha tenido conocimiento de esta circunstancia al solicitar un micro-crédito al consumo que no le ha sido concedido por este motivo. El cliente consulta sobre la posibilidad de denunciar ante la AEPD por la inclusión no autorizada en un fichero de solvencia patrimonial.
 
La Central de Información de Riesgos del Banco de España (CIRBE) es un servicio público que gestiona una base de datos en la que constan prácticamente todos los préstamos, créditos, avales, y riesgos en general que las entidades financieras tienen con sus clientes. Para cada uno de esos riesgos, las entidades que los declaran facilitan la información más relevante, incluyendo la identificación del cliente. Las entidades deben declarar mensualmente a la Central de Información de Riesgos la práctica totalidad de sus riesgos de crédito y los titulares a quienes corresponden, incluyendo los datos, características y circunstancias más significativas. Con carácter general, el importe mínimo de la declaración para las personas físicas es de 6.000 euros.
La Central de Información de Riesgos (CIR) tiene dos objetivos fundamentales:
  • Facilitar a las entidades declarantes información necesaria para su actividad.
  • Permitir al Banco de España el adecuado ejercicio de sus competencias y en particular las de supervisión e inspección de las entidades de crédito.
Por lo tanto, este tipo de ficheros están creados con la exclusiva finalidad de facilitar información crediticia del afectado. En este tipo de ficheros, el tratamiento se efectúa sin el consentimiento del interesado, dado que se informa de los impagos o incidencias ocurridas en sus operaciones de crédito, a fin de ponerlas de manifiesto a otras entidades para que éstas conozcan la capacidad económica y solvencia del interesado.
Sólo podrán ser objeto de tratamiento los datos que respondan con veracidad a la situación de la duda en cada momento concreto. Para incluir en estos ficheros datos personales que sean determinantes para enjuiciar la solvencia económica del afectado, deben darse los siguientes requisitos:
  • Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.
  • Qué no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.
  • Requerimiento de pago a quien corresponda el cumplimiento de la obligación.
El pago o cumplimiento de la duda determinará la cancelación inmediata de todo dato relativo a la misma. En los restantes supuestos, los datos deberán ser cancelados cuando se hubieran cumplido seis años contados a parir del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.
Las entidades tienen la obligación de informar al deudor:
  • de la posibilidad de que los datos relativos al impago puedan ser comunicados a ficheros relativos al cumplimiento o incumplimiento de oblaciones dinerarias en el momento en que se efectúa el requerimiento previo de pago deudor.
  • de avisar al afectado en un plazo de 30 días a contar desde la inclusión en el fichero, informándole de su derecho a recabar información sobre todos los datos recogidos, incluida su procedencia.


CASO QUE NOS OCUPA
Por lo tanto, en el caso que no ocupa, existen dos puntos:
  • La entidad no tiene obligación de recabar consentimiento del afectado ya que se trata de un fichero común que sirve para enjuiciar la solvencia económica y patrimonial del afectado.
  • La entidad si tiene obligación de informar:
    • La entidad debería haber informado en el momento en que se celebró el contrato o por lo menos en el momento en que se efectuó el requerimiento previo de pago, de que en caso de no producirse el pago en el término previsto para ello, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de oblaciones dinerarias.
    • La entidad tiene la obligación de avisar al afectado en un plazo de 30 días a contar desde la inclusión en el fichero informándole de su derecho a recabar información sobre todos los datos recogidos, incluida su procedencia. La notificación deberá efectuarse a través de un medio fiable, auditable e independiente de la entidad notificante que permita acreditar la efectiva realización de los envíos, es decir cualquier método que pone a disposición de los usuarios la oficina de correos no por los medios del propio banco o entidad financiera.
El cliente consulta sobre la posibilidad de denunciar ante la AEPD por la inclusión no autorizada en un fichero de solvencia patrimonial.
No da lugar a denunciar a la entidad por la inclusión no autorizada de datos personales en el CIRBE ya que no se necesita autorización por parte de la entidad financiera.
Sí da lugar por la falta de información por parte de la entidad, por una parte, de no comunicar la posibilidad de incluir los datos en el momento del requerimiento del previo pago, y por otro, después de incluir los datos, notificar de este hecho al afectado en un plazo de 30 días desde su inclusión.
El pago o cumplimiento de la deuda determinará la cancelación inmediata de todo dato relativo a la misma. Si no es así, los datos deberán ser cancelados cuando se hubieran cumplido seis años contados a partir del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

Administracción electrónica como nueva forma de atención al ciudadano.


La Administración electrónica se configura como una nueva forma de atención al ciudadano al que facilita la realización de gestiones vía internet.
Ventajas:
  • Los ciudadanos pueden llevar a cabo todas sus gestiones administrativas a través de medios electrónicos.
  • El número de errores de la gestión administrativa se reduce drásticamente en la medida en que los procedimientos se encuentran completamente tasados desde el punto de vista legal y tecnológico.
  • Aumenta la transparencia y eficiencia de la Administración pública en la medida en que los ciudadanos tienen acceso completo a los expedientes y al estado de los mismos.
  • Permite evitar colas, desplazamientos y horarios rígidos para llevar a cabo los trámites administrativos.
  • Permite aumentar la rapidez y comodidad para los usuarios y para la propia Administración.
  • Perite aumentar el nivel de comunicación entre la Administración y la ciudadanía, lo que aumenta la cercanía entre ambas partes.
  • Permite centralizar todos los procedimientos en una misma ventanilla, de tal forma que los usuarios únicamente tengan un sitio web de referencia al que acudir para realizar todas o la mayor parte de las tareas.
  • Permite el tratamiento centralizado de la información y de los datos personales de los ciudadanos.
  • Permite el acceso descentralizado, no siendo necesario acudir físicamente a las oficinas de la administración pública en concreto.
  • Fomenta la participación y el aprendizaje por parte de los ciudadanos para llevar a cabo procedimientos concretos por sí mismos, sin necesidad de la asistencia por parte de la administración.
  • Fomenta la construcción de una administración pública común, en la que los ciudadanos tienen acceso y oportunidad de comunicarse con la Administración, construyendo conjuntamente un modelo de gestión.

Necesidades del ciudadano para operar con la Administración vía internet:
El ciudadano necesita un ordenador con conexión a internet con el que poder conectar a la Administración que desee. Para que la conexión sea segura hay que tener en cuenta dos aspectos.
  • Principio de identidad: es aquel por el cual tanto la administración como el ciudadano se encuentren identificados de forma fehaciente, es decir, que ambas partes cuenten con los sistemas tecnológicos suficientes como para poder acreditar que son quienes dicen ser.
  • Principio de integridad: es aquel por el cual todas las comunicaciones electrónicas sean absolutamente íntegras, es decir, no sufran ningún tipo de variación desde que son emitidas, hasta que son recibidas por su destinatario.
  • Principio de confidencialidad: es aquel por el cual todo procedimiento administrativo es confidencial y secreto.
Estos tres principios se consiguen mediante el uso de certificados de firma electrónica que permite que la identidad de los partícipes esté garantizada y por el uso de criptografía asimétrica, que suelen estar integrados en este tipo de certificados, y que impiden que terceras personas puedan acceder a dichos datos y por consiguiente que puedan ser alterados en el proceso de emisión y recepción de las comunicaciones.

Con ayuda de los certificados electrónicos se puede realizar la protección de la información mediante un cifrado o transformación criptográfica (ocultamiento o enmascaramiento de la información de forma que no sea legible sin realizar la operación inversa) de los mensajes, haciendo su contenido ilegible salvo para el destinatario. Con ayuda de los mismos certificados electrónicos y aplicando un algoritmo de firma electrónica, obtenemos de un texto, una secuencia de datos que permiten asegurar que el titular de ese certificado ha “firmado electrónicamente” el texto y que éste no ha sido modificado.
Las claves criptográficas (conjunto de datos o información manejada y gestionada por el usuario para realizar operaciones criptográficas) que posibilitan estas operaciones se generan en el momento de la solicitud del certificado y quedan unidas inequívocamente al titular de las mismas.

Inscripción o modificación de ficheros en el Registro General de Protección de Datos de la AEPD.


Cualquier entidad, pública o privada, que sea responsable de ficheros que contengan datos de carácter personal, o de su tratamiento, debe obligatoriamente, inscribir dichos ficheros en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos.
  • Se debe notificar a la AEPD para que proceda a inscribir el fichero en el registro General de Protección de Datos. El RGPD inscribirá el fichero si la notificación se ajusta a los requisitos exigibles, confirmándolo con la remisión de una carta postal debidamente firmada por el director de la AEPD. En caso contrario, podrá pedir que se completen los datos que falten o se proceda a sus sustitución. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero a todos los efectos, operando en tal caso el silencio administrativo positivo.
  • La empresa debe proceder a realizar una auditoría interna en la que una vez detectados todos los ficheros existentes, lleve a cabo la unificación de los mismos, en función de su contenido y finalidad, centralizando su tratamiento y reduciendo así el número final de ficheros a notificar. De esta forma se sigue un criterio lógico de agrupación de ficheros que pudieran asemejarse atendiendo al contenido y finalidad. De esta forma se reduce el número de ficheros a inscribir, además de poder operar con ellos de una forma más organizada y eficaz evitando cumplimentar más formularios de inscripción.
  • La empresa podría incurrir en una falta leve o grave, quedando sujeto al régimen sancionador previsto en la LOPD.

Auditorías de protección de datos


Todas aquellas entidades y organizaciones responsables y encargadas del tratamiento en relación con los ficheros y tratamientos clasificados como nivel medio y alto, con independencia de que estén automatizados o no, están sujetas a la obligación de realizar, al menos cada dos años, una auditoría de verificación de las medidas de seguridad en el tratamiento de datos de carácter personal.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación y adecuación y eficacia de las mismas.
Las entidades que únicamente traten datos personales de nivel básico, no están obligadas conforme a la normativa de protección de datos a realizar una auditoría.

No obstante, en ambos casos, los profesionales de la privacidad deben trasladar a los responsables de los ficheros que el cumplimiento de la normativa de protección de datos no solamente evita posibles sanciones derivadas de su incumplimiento, sino que su cumplimiento proporciona una serie de valores añadidos que reportan beneficios directos en su actividad cotidiana.


Consideraciones a tener en cuenta antes de una auditoría de protección de datos.
  • Para poder efectuar una auditoría será necesario que el auditor tenga, en determinadas ocasiones, acceso a los datos de carácter personal procesados y almacenados en los sistemas de información de la organización auditada, y como tal, pasa a convertirse en un encargado del tratamiento.Por ello, ates de iniciar la auditoría deberá suscribirse un contrato de acceso a datos para la prestación de servicios con el siguiente contenido:
  • Deberá formalizarse por escrito o de alguna otra forma que permita acreditar su celebración y contenido.
  • Deberá establecerse que el encargado del tratamiento únicamente tratará los datos conforme a la instrucciones del responsable del tratamiento, que no los aplicará con fin distinto al que figure en dicho contrato, no los comunicará, ni siquiera para su conservación, a otras personas.
  • Se estipularán las medidas de seguridad que el encargado deba implementar.
  • Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento.
     
   Fases de la auditoría de protección de datos: 


1. Identificación de las partes y del alcance de la auditoría.
En esta fase se trata de identificar tanto a la entidad auditora como a la entidad auditada, siendo recomendable que el auditor y el responsable o el encargado del tratamiento creen una comisión o equipo de trabajo que tendrá por objeto:
  • Mantener una comunicación permanente y fluida con el auditor para el desarrollo de los trabajos que se realicen.
  • Asumir y responsabilizarse internamente de que el trabajo de auditoría será realizado por el auditor con la colaboración de todo el personal que vaya a estar involucrado.
Asimismo, en esta fase se procede a examinar entre otros aspectos los siguientes:
  • Obtención de los datos de carácter personal.
  • Finalidad de los datos de carácter personal.
  • Ficheros de datos de carácter personal.
  • Consentimiento del afectado en la recogida de los datos.
  • Responsable del fichero.
  • Derechos de los afectados.
  • Encargado del tratamiento.
  • Acceso a los datos de carácter personal.
  • Cesiones de datos.  
2. Recogida de información.
El auditor deberá recopilar información sobre:
  • El grado de mantenimiento y cumplimiento del documento de seguridad, en especial de los apartados “Funciones” y “Obligaciones del personal”.
  • Almacenamiento de información.
  • Los registros de incidencias.
  • Los accesos, copias de seguridad y salida de soportes.
  • La relación de los usuarios autorizados.
  • El inventario de soportes.

Entre los casos de recogida de información que suelen darse dentro del proceso de auditoría, cabe señalar los siguientes:
  • Obtención por parte del auditor de información relativa al responsable y encargado del tratamiento de registros públicos.
  • Petición por parte del auditor de información previa al inicio de las entrevistas con los distintos interlocutores de la empresa a través del comité creado al efecto.
  • Petición por parte del auditor de información durante las entrevistas realizadas a los distintos interlocutores.
  • Solicitud de información por parte del auditor, tras conocer determinados datos sobre la empresa auditada, a fin de comprobar la veracidad de los mismos.
  • Entrega voluntaria de información al auditor por parte de los interlocutores.
  • Apreciación directa del auditor en el examen de las medidas técnicas, lógicas y organizativas existentes en la empresa, así como de los hechos que acontezcan durante sus visitan a la entidad audita
3. Entrevistas. Check list o listado de comprobación.
Para la recogida de esta información el auditor lleva a cabo una serie de entrevistas a las personas que van a estar involucradas en la auditoría. Estas personas son las siguientes:
  • El responsable de seguridad nombrado por el responsable del fichero y por el encargado del tratamiento para velar y coordinar las medidas de seguridad establecidas en el RLOPD.
  • El administrador o administradores de sistemas de la organización, que se encargan de la gestión y administración de los sistemas de información así como de la seguridad del mismo.
  • Los usuarios, que son las personas que, dentro de la empresa, acceden a los datos de carácter personal procesados en los sistemas de información.
Lo más oportuno es que el auditor, de forma previa a la realización de las entrevistas, prepare un listado de aquellas personas con las que se entrevistará y a las que se les preguntará una serie de cuestiones mediante un check list o formulario elaborado al efecto.

4. Análisis de la información.
Las peculiaridades que caracterizan este análisis son las siguientes.
  • Debe cotejarse toda la información obtenida por el auditor de los distintos canales de la empresa auditada y, sobre todo, la obtenida a través de los cuestionarios realizados tanto al responsable de seguridad y administrador de sistemas, como a los distintos usuarios.
  • Debe tratarse de un análisis por niveles de seguridad, es decir, deben analizarse en primer lugar las medidas de carácter general contempladas en el RLOPD y con posterioridad, por orden, las contempladas para el nivel básico, medio y alto.
5. Informe de auditoría.
El informe de auditoría es el producto final del trabajo desempeñado por el auditor. Deberá ser analizado por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medias correctoras adecuadas y quedarán a disposición de la AEPD o, en su caso, de las autoridades de control de las Comunidades Autónomas.
El informe de auditoría deberá:
  • Dictaminar sobre la adecuación de las medidas y controles establecidos a lo dispuesto en el RLOPD.
  • Identificar las deficiencias y proponer las medidas correctoras o complementarias.
  • Incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
  • Ser analizado por el responsable de seguridad, y elevar sus conclusiones al responsable del fichero para que adopte las medias adecuadas.
  • Quedar a disposición de la Agencia Española de Protección de Datos.

lunes, 27 de febrero de 2012

Inscripciones que impliquen recabar datos de carácter personal. Precauciones a tener en cuenta.


Para explicar el caso que nos ocupa, vamos a desarrollar un posible caso.
Pedro desea inscribirse en un curso de fotografía. En el departamento de administración de la entidad que organiza el curso le solicita que cumplimente un formulario con sus datos personales con el fin de poder tramitar su inscripción. ¿Qué precauciones debería tomar al respecto?
Pedro debe tener en cuenta los derechos que garantiza la legislación vigente en materia de protección de datos. Este derecho y viene tipificado en el artículo 18.4 de la Constitución Española como uno de los derechos fundamentales de la persona y se desarrolla en diferentes leyes como:
  • Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter Personal (LOPD)
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.
El objeto de estas leyes es garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
La legislación actual confiere un poder jurídico para que la persona disponga y controle los datos de carácter personal que pueda ceder a cualquier entidad tanto pública como privada. Los datos recabados deben ser adecuados, pertinentes y no excesivos y solamente pueden ser tratados por el responsable del fichero para los fines legítimamente establecidos,
Por lo tanto Pedro debe tener en cuenta el Habeas Data que garantiza la legislación vigente sobre los datos de carácter personal, o el control que a cada uno de nosotros nos corresponde sobre la información que nos concierne sea íntima o no, para preservar, en último extremo el libre desarrollo de nuestra personalidad también denominado “Auto determinación Informativa o “Libertad informática”. La entidad debe observar la confidencialidad debida, tanto para el responsable del fichero, como para todas aquellas personas de la organización que tengan acceso a los datos
Cuando Pedro cumplimente el formulario del curso estará dando su consentimiento expreso e inequívoco para que la entidad organizadora del curso pueda recabar los datos personales de Carlos para tratarlos con el fin de poder gestionar el curso.
Pedro debe velar porque en formulario de inscripción esté configurado para que la calidad de los datos personales sean adecuados, pertinentes y no excesivos y que estén destinados al fin legítimamente establecido. Además debe aparecer por escrito en el mismo formulario que permita al usuario ser informado de:
  • solicitar el consentimiento del interesado para el tratamiento de sus datos, garantizando que los datos son cedidos libremente de una manera expresa para el fin establecido.
  • la existencia de un fichero automatizado o no donde se incluirán los datos personales cedidos.
  • la existencia de un responsable del fichero o tratamiento.
  • la declaración de dicho fichero está inscrito en el Registro General de Protección de Datos de la AEPD.
  • los derechos de acceso, rectificación y cancelación de los mismos.
  • los datos identificativos de la entidad: nombre, CIF, dirección postal, Teléfono, fax, correo electrónico, etc.
  • finalidad de la recogida de datos.
  • obligación o no de facilitar los datos y los efectos que tiene.
  • la dirección para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
  • La posible cesión de datos personales a otras entidades. En este supuesto debe aparecer el objetivo de la cesión, que debe estar relacionado con la finalidad para la que se cedieron los datos personales, y los datos a trasmitir. En lo posible, la entidad debe informar a que empresas o entidades cederían los datos.


Códigos tipo


¿Qué son los código tipos? Vamos a intentar responder a esta pregunta:
Son una especie de códigos deontológicos o de buena práctica profesional relativas a la protección de datos, mediante cuya elaboración se pretende establecer un sistema de autorregulación que incluya garantías adicionales a las exigidas por la normativa de protección de datos.
Dichos códigos hacen referencia a la política concreta de la organización en cuanto a la forma en que llevara a cabo lo establecido por la normativa de protección de datos, pero con la diferencia de establecer en ellos una garantía adicional a la hora de establecer dichas practicas.
Son acuerdos sectoriales, decisiones de empresa o convenios administrativos, cuya eficacia nace exclusivamente de la aceptación voluntaria de su contenido por parte de los firmantes.
Los código tipo, en la mediada en que pueden ofrecer soluciones estandarizadas adaptadas a las peculiaridades de un sector de actividad constituye, sin duda, un instrumento apropiada para incrementar la seguridad de las entidades adheridas al mismo, máxime cuando su contenido es supervisado por la AEPD antes de proceder a la inscripción.

Los código tipo no son obligatorios pero son un código de buenas prácticas que permiten:
  • armonizar los tratamientos de datos efectuados por los adheridos.
  • Facilitar el ejercicio de los derechos de los afectados.
  • Favorecer el cumplimiento de lo dispuesto en la normativa de protección de datos.
Los códigos tipo serán vinculantes para quienes se adhieran a los mismos.

Con los códigos tipo pretenden establecer un sistema de autorregulación que incluyan garantías adicionales a las exigidas por la normativa de protección de datos. La AEPD no registraría un código tipo que simplemente transpusiera los principios de la LOPD, sino que exige un valor añadido a las garantías ya exigidas, como por ejemplo:
  • Propuestas concretas que faciliten la asistencia a los interesados cuando quieran ejercitar sus derechos.
  • Ofrecer vías de recurso a los perjudicados como es el caso de los mecanismos arbitrales.

Para que los código tipo tengan validez, deben ser depositados e inscritos en el Registro General de Protección de Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas.
El procedimiento para la inscripción en el Registro General de Protección de Datos de los códigos tipo se iniciará siempre a solicitud de la entidad, órgano o asociación promotora del código tipo.
La solicitud deberá ir acompañada de los siguientes documentos:
  • Acreditación de la representación que concurra en la persona que presente la solicitud.
  • Contenido del acuerdo, convenio o decisión por la que se aprueba, en el ámbito correspondiente, el contenido del código tipo presentado.
  • En caso de que el código tipo proceda de junto acuerdo sectorial o una decisión de empresa, certificación diferenciada a la adopción del acuerdo y legitimación del órgano que lo adoptó.
  • En el supuesto anterior, copia de los estatutos de la asociación, organización sectorial o entidad en cuyo marco haya sido aprobado el código.
  • En caso de códigos tipo presentados por asociaciones u organizaciones de carácter sectorial, documentación relativa a su representatividad en el sector.
  • En el caso de códigos tipo basados en decisiones de empresa, descripción de los tratamientos a los que se refiere el código tipo.
  • Código tipo que se pretenda inscribir.
Una vez presentada la solicitud el RGPD puede emplazar a los solicitantes, durante los 30 días siguientes, con el fin de obtener aclaraciones relativas al contenido del código tipo. Transcurrido dicho plazo el RGPD debe elaborar un informe sobre las características del proyecto de código tipo.
La documentación presentada y el informe elaborado por el RGPD se remiten al Gabinete jurídico de la AEPD y si todo es correcto, el Director de la Agencia acordará la apertura de un periodo de información pública, dando un plazo de 10 días para la formulación de alegaciones.
De dichas alegaciones se dará traslado al solicitante del código tipo con el fin de que en el plazo de 10 días alegue lo que estime procedente.
A continuación el Director de la Agencia resolverá sobre la procedencia o improcedencia de la inscripción del código tipo den el RGPD.
  • El RGPD podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso el Director de la AEPD requerir a los solicitantes para que efectúen las correcciones oportunas.
  • En el caso de que se autorice su inscripción la AEPD debe dar publicidad del código tipo a través de sus sitio web.
El plazo máximo para dictar y notificar la resolución es de seis meses, a contar desde la fecha de entrada de la solicitud en la AEPD. Pasado dicho plazo, sin dictarse y notificarse una resolución expresa, el solicitante podrá considerar estimada su solicitud.

Para más información sobre los código tipo, visitar la página web de la Agencia Española de Protección de Datos.

sábado, 25 de febrero de 2012

Funcionamiento del sistema de encriptación asimétrico de llave pública



El sistema criptográfico de clave asimétrica ( o de llave pública) consiste en que cada usuario del sistema criptográfico posee su propia pareja de claves.
  • Clave privada: es custodiada por su propietario y sólo la debe conocer él.
  • Clave pública: es conocida por todos los usuarios.
Esta pareja de claves es complementaria por lo que la información que cifra una sólo la puede descifrar la otra y viceversa.

ENCRIPTACIÓN
Mensaje original ----------------------------------- Mensaje encriptado
(texto simple) LLAVE PÚBLICA DEL RECEPTOR (texto codificado)

El mensaje viaja a través de internet al destinatario

DESENCRIPTACIÓN
Mensaje encriptado ------------------------------------- Mensaje original
(texto codificado) LLAVE PRIVADA DEL RECEPTOR (texto simple)


Hay dos maneras de utilizar las llaves.
  • Para proporcionar confidencialidad al mensaje: el emisor usa la llave pública del receptor para encriptar un mensaje. Al llegar al receptor, decodifica el mensaje con su propia llave privada. De esta forma se mantiene la confidencialidad.
  • Para probar la autenticidad del emisor del mensaje: si el receptor de un mensaje es capaz de desencriptarlo con la llave pública del emisor, significa que el mensaje realmente fue enviado por esta (el emisor), probando así su autenticidad. Esto es debido a que un mensaje enviado con una clave privada sólo puede desencriptarse con su llave pública.
Cuando se cifra un documento con la clave privada, además de encriptarlo y protegerlo de accesos no autorizados, también se incorpora el propio sello de la persona que lo cifra. Es decir, se incorpora la autenticidad del emisor de la información y, además, la característica de no repudio.
Este tipo de firmas no se pueden falsificar mientras no se descubra la clave privada del firmante, por lo que da una seguridad mayor que la firma manuscrita. La firma electrónica permite conocer si el contenido del mensaje ha sido manipulado de alguna forma.

Contenido mínimo del "aviso legal" que debe incluir una empresa en su web corporativa



Una web corporativa es aquella en la que las empresas muestran información a distintos niveles acerca de ella, pero a través de la cual, no realizan comercio electrónico.
Las empresas que poseen una página web deben cumplir con las obligaciones legales impuestas por la LSSI. La manera más sencilla de proteger los derechos de los usuarios y su seguridad es la inserción en la página web de un “Aviso legal” o “condiciones de uso” en el que se proporcione a los visitantes toda la información que se considere relevante y que puede ser más o menos complejo en función de la empresa y los derechos sobre la propiedad intelectual e industrial.
Aunque la legislación española actual no establece expresamente un determinado plazo o periodicidad para la realización de una auditoría de legalidad web, es recomendable realizar un análisis de su implementación y adecuación a la normativa vigente, para garantizar la seguridad y confianza de los usuarios, así como para evitar toda clase de sanciones que puedan derivar de su incumplimiento.
Contenido mínimo de un aviso legal:
Las empresas tienen que cumplir con la LSSI teniendo que mostrar determinada información legal en sus páginas web, información que dependerá del ámbito de actividad de la empresa y del hecho de tratarse de una web corporativa meramente informativa o de una web que comercializa con productos o servicios.
  • Datos identificativos. Obligación de ofrecer una información general, de manera permanente, sencilla, directa y gratuita de los siguientes datos del titular de la página:
    • Nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato relevante que permita establecer con él una comunicación directa y efectiva.
    • Datos de inscripción en el registro mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.
    • Número de identificación fiscal que le corresponda (CIF o NIF)..
    • En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
    • Si ejerce una profesión regulada deberá indicar.
      • Datos del colegio profesional al que en su caso pertenezca y el número de colegiado
      • Título académico oficial o profesional.
      • Estado de la Unión europea o del Espacio Autonómico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
      • Normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluido los electrónicos.
  • Política de enlaces. Es importante establecer una política de enlaces a la página, por lo tanto, se recomienda establecer los requisitos para enlazar desde la propia web a las de terceros y viceversa, así como utilidades o herramientas para los usuarios, con la finalidad de limitar las posibles responsabilidades que pudieran derivarse de los contenidos enlazados.
  • Derechos de la propiedad intelectual. El aviso legal permite proteger jurídicamente, mediante la declaración de reserva de derechos, ciertos activos de la empresa frente a posibles utilizaciones de los mismos por parte de terceros. Muchas empresas protegen en este apartado sus marcas, denominaciones, logotipos, además de los contenidos (imágenes, textos, diseño, etc.) de la página web. Es un mecanismo de prueba en caso de usurpación por parte de terceros ajenos y no autorizados.
  • Limitación de responsabilidades. También deben incorporarse en el aviso legal una serie de limitaciones de responsabilidad sobre los posibles daños que pudiera sufrir el usuario mientras visita la página, derivados, por ejemplo, de virus existentes en Internet; así como una mención a la colaboración de la empresa con las autoridades competentes frente a posibles actuaciones ilícitas o nocivas que se hayan realizado por terceros de mala fe que provoquen daños y perjuicios a la página.
  • Protección de datos. Para la obtención de datos personales, información a los interesados y creación y mantenimiento de ficheros de datos personales, será de aplicación la LOPD. En el caso en que desde la página web se recojan datos de carácter personal a través de formularios de recogida de datos se habrá de incluir en el aviso legal el principio de información regulado en el artículo 5 de la LOPD, estableciendo una política o aviso de privacidad que recoja los siguientes extremos:
    • Existencia de un fichero al que serán incorporados los datos que se solicitan.
    • Identidad y dirección del responsable del fichero/tratamiento.
    • Finalidad para la que serán usados los datos,
    • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación u oposición al tratamiento de los datos.
Igualmente, si son utilizados otros mecanismos de seguimiento de la navegación de usuario y obtención de determinados datos (archivos comúnmente denominados cookies), existe la obligación de informar al usuario de su utilización, finalidades, así como de los mecanismos para poder desactivar estos archivos de sus sistema/ordenador.
  • Jurisdicción y leyes aplicables. Debido a que no puede establecerse el principio de territorialidad en Internet, en el aviso legal se debe indicar a qué concreta Ley nacional y tribunales se somete la página web, limitando de esta manera las posibles responsabilidades derivadas de actuaciones mal intencionadas de terceros, basadas en legislaciones extranjeras que no son aplicables.

Insatación de un certificado digital de la FNMT en un navegador web

En el presente artículo vamos a aprender a instalar un certificado digital de la FNMT. Lo vamos a instalar en un navegador Firefox bajo un entorno Linux (aunque podría valer para un entorno windows). Previamente, deberemos haber descargado el certificado digital de página web de la FNMT.


1. Se abre el navegador mozilla y entramos en "Preferencias". En el panel superior nos aparecerán diferentes opciones, hacemos clic en "Avanzado" y seleccionamos la pestaña "Cifrado". Hacemos clic en "Ver certificados"



2. Seleccionamos la pestaña "Sus certificados" y hacemos clic en "Importar". Se abrirá una ventana en la cual deberemos seleccionar el archivo que contenga el certificado. Nos aparecerá en "nombre del certificado", FNMT y debajo nuestro certificado.



3. Vamos a la ventana anterior "Preferencias de Firefox". Seleccionamos la pestaña "Cifrado" y hacemos clic en "Ver certificados".



4. Seleccionamos la pestaña de "Autoridades", buscamos el certificado de la FNMT, hacemos clic en "Editar confianza".




5. Seleccionamos las tres casillas y aceptamos.




6. Abre una nueva pestaña en el navegador y escribe “about:config” en la barra de dirección. Aparecerá un mensaje que dice: ¡Zona hostíl para amenazas!. Es necesario entrar, así que aceptamos.





7. Busca la línea: “signed.applets.codebase_principal_support”. Comprueba que el valor de la preferencia es “true“. Si no lo es, haz doble clic sobre el valor y déjalo a “true”.

En principio, tendrás el certificado instalado y listo para operar con él.

Espero que el artículo te haya servido de ayuda.