Supervisor Europeo de Protección de Datos (SEPD) ha publicado los resultados de su última encuesta general

Ayer, el Supervisor Europeo de Protección de Datos (SEPD) ha publicado los resultados de su última encuesta general de conformidad con el Reglamento de Protección de Datos. Las instituciones y organismos de la UE tratan datos personales, tanto en su trabajo diario como en su núcleo de actividades empresariales. En ambos casos se tienen que cumplir con los principios de protección de datos y obligaciones y respetar los derechos de los individuos involucrados. En su último balance, el SEPD ha analizado el rendimiento de las 58 instituciones y órgannos de la UE en ciertas áreas clave.

El informe hace hincapié en los progresos realizados por las instituciones y organismos en la ejecución del Reglamento, y también pone de relieve las deficiencias. Instituciones y organismos han sido divididos en cuatro grupos para permitir una comparación significativa. Puntos de referencia se han establecido sobre la base de los resultados obtenidos en cada grupo, lo que indica el umbral que una institución u organismo debe cumplir razonablemente. Dentro de estos grupos, instituciones y organismos la puntuación ha sido diferente en el cumplimiento de la protección de datos y algunos de ellos claramente no cumplen con las expectativas razonables.

Peter Hustinx, SEPD, dice: "Me preocupa que no todas las instituciones de la UE y los organismos
funcionan tan bien como deberían. La aplicación de los principios de protección de datos es no sólo cuestión de tiempo y recursos, sino también de la voluntad de las organizaciónes. Asegurar el  cumplimiento es un proceso que requiere el compromiso y apoyo de la jerarquía en todas las instituciones y organismos. "

Los resultados de esta encuesta serán tenidos en cuenta por el SEPD en la planificación y orientación a las instituciones y organismos, acciones de cumplimiento y otras medidas para promover la rendición de cuentas. En este sentido, además de las inspecciones del SEPD, se han planificado un número de visitas específicas sobre la base de los resultados de este ejercicio. Estas visitas suelen dar lugar a una hoja de ruta acordada con el fin de mejorar el cumplimiento.

En 2012, el SEPD tiene la intención de visitar la Agencia Europea de Seguridad Aérea (EASA), el Centro Europeo para la Prevención y Control de Enfermedades (ECDC), la Fundación Europea de (ETF), el Consejo Europeo de Investigación Agencia Ejecutiva (AECEI) y la Agencia Ejecutiva de  Investigación (AEI).

Las empresas tendrán que adaptarse a la nueva normativa en materia de protección de datos de la Unión Europea

La propuesta para una legislación europea más estricta en materia de protección de datos va a obligar a las empresas en toda la UE a reforzar sus procesos de gestión de la información.

Los principales puntos incluidos:

1.    La notificación obligatoria de las brechas de datos. Tanto las autoridades relevantes en protección de datos, como todos los particulares afectados tienen que ser notificados en el plazo de 24 horas acerca de cualquier fallo en la gestión de los datos, incluyendo su destrucción no autorizada o su pérdida. Las autoridades en materia de protección de datos tienen que ser notificadas, incluso en el caso de que no haya habido ningún riesgo de que los datos resultaran dañados.

“La gran cuestión aquí es si la comunidad empresarial querrá o será capaz de auto controlarse”, comenta Toon. “En el caso de que no pudiera, las empresas se verían expuestas a inspecciones regulares por parte de las autoridades oficiales. La definición de ‘brecha’ tendrá también que quedar clara. ¿Dependerá del número de archivos o documentos afectados, por ejemplo, o del tipo de información que ha estado en peligro? Las empresas deberían prepararse para ambas opciones”.
 

2.    Se exigirá el nombramiento de un responsable de protección de datos.  La figura del responsable de protección de datos será obligatoria para todos los organismos públicos y todas las empresas con más de 250 empleados. “Esto podría significar tener que incurrir en costes no previstos, por lo que sería beneficioso para una empresa considerar este punto antes de que la legislación entre en vigor”, aconseja Toon. “El nombramiento de un responsable de protección de datos ya es obligatorio en Alemania. En muchas empresas será suficiente con añadir una responsabilidad más a las que ya tenga un empleado lo suficientemente preparado. Tener un persona específica para tratar la protección de datos es sin embargo la mejor opción y las empresas no deberían esperar a la entrada en vigor de la legislación para avanzar en este punto”.

Penalizaciones significativamente mayores. La legislación propuesta permite a las autoridades legislativas el poder para imponer multas de hasta un millón de euros o, en caso de una empresa, hasta el 5% de sus ingresos globales por año en el caso de incumplimiento de la ley.

Osakidetza apoya a las familias de bebés robados pero recuerda las restricciones legales de acceso a historias clínicas

El director general de Osakidetza, Julián Pérez Gil, ha expresado este jueves su preocupación ante los denominados 'casos de niños robados' y ha afirmado que el servicio vasco de salud está dispuesto a "dar todo su apoyo" a las asociaciones y a la Justicia para conseguir su esclarecimiento, siempre que se acrediten los requisitos legales de acceso a la documentación clínica.

 

Pérez ha realizado estas declaraciones en una rueda de prensa celebrada en Vitoria para presentar la actividad del Servicios vasco de Salud-Osakidetza en el año 2011 y ofrecer datos sobre las listas de espera en los hospitales vascos.

 

En su intervención, Pérez ha hecho referencia a las criticas a Osakidetza realizadas por algunos familiares que sospechan ser víctimas de la trama de bebés robados ante una posible falta de colaboración de la Sanidad vasca a la hora de facilitar la información relacionada con los casos.

 

El director de Osakidetza ha expresado su preocupación por la trama de robo de bebés y ha afirmado que el Servicio vasco de Salud está dispuesto a "dar todo su apoyo" a las asociaciones y a la Justicia para conseguir su esclarecimiento.

 

Sin embargo, ha recordado que existe una Ley de Protección de Datos que Osakidetza debe "cuidar, conservar y cumplir", por lo que ha hecho referencia a las quejas de algunas de las familias afectadas para insistir en que Osakidetza debe hacer un "cumplimiento estricto" de la ley.

 

En este sentido, ha explicado que una historia clínica de un paciente sólo se puede mostrar a la persona titular o por decisión judicial. "No podemos entregar una historia clínica la primera persona que la pide", ha insistido.

 

Asimismo, ha recordado que la directriz que tiene todos los hospitales vascos es "facilitar" las peticiones que se realicen sobre este asunto porque "estamos deseosos de que estos casos se aclaren". "En los casos en los que podamos ayudar a la Justicia a resolver estos casos, Osakidetza va a poner todo de su parte", ha concluido.

El Concello de Gondomar apila en una escalera miles de documentos

Amontonados en una escalera del último piso de la Casa de la Cultura. Así es como el Concello de Gondomar guarda miles de documentos oficiales de su archivo. El edificio público está abierto durante todo el día. No hay ningún tipo de vigilancia. Cualquier persona podría entrar y llevarse documentos sin ser descubierto. La mayoría son informes de tipo económico, referentes a plusvalías y pago de nóminas de los trabajadores municipales.

El Ayuntamiento de Gondomar incumple de esta forma la normativa existente en cuanto a la custodia de expedientes oficiales, según denuncia el BNG.

El portavoz nacionalista, Antonio Araúxo, denunció ayer esta falta de diligencia a la hora de archivar los papeles del Concello. Responsabilizó al gobierno municipal de esta situación que, en su opinión, es una muestra de «o mal que están xestionando o Concello». Este partido reclama medidas urgentes para poner a buen recaudo los documentos oficiales.

En opinión de Araúxo, con este hecho podría estar incumpliendo la Ley de Protección de Datos. Hace años la Agencia de Protección de Datos ya amenazó al Concello con una multa de 600.000 euros por descuidar documentos en los que aparecían datos personales de vecinos.

Entonces habían aparecido una gran cantidad de papeles entre los restos de una hoguera que hizo el Ayuntamiento en una finca municipal para deshacerse de documentos que no le interesaban. «Neste caso calquera pode ter acceso a eles sin problemas», denuncia Antonio Araúxo. El polémico almacén está ubicado junto al salón de actos, en los escalones por los que se accede al ático del edificio, donde se encuentra el archivo. El inmueble está siempre abierto porque además del salón de actos alberga otras instalaciones municipales, como el CIM, las dependencias de cultura o de la técnico municipal de empleo.

Telefónica tendrá que abonar una multa de 40.000 euros por incluir a un usuario en un directorio de morosos, por error.

La comprobación de la Agencia Española de Protección de Datos (AEPD) determinó que Telefónica y el registro de morosos reflejaban dos deudas del cliente.

La primera supuesta deuda del usuario, de 62,08 euros, fue sustituida por otra de un céntimo de euro durante un mes, hasta que finalmente se anuló.

La persona denunció los hechos en su día, alegando que no había contraído el compromiso del que se le acusaba. 
 
Por ello, la AEPD sancionó en un principio al operador con 60.101,21 euros, al entender que había incluido los datos personales del interesado en un registro de morosos sin que procediese su inclusión y su mantenimiento, porque el operador no aportó el contrato que probase la existencia de la deuda.

La infracción imputada a Telefónica de España SAU se refleja en el artículo 4 apartado 3 de la LOPD: "Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado".

Pero el operador recurrió ante la Audiencia Nacional con estos argumentos: "por razones puramente comerciales, se procedió a compensar la deuda de 62,08 euros al cliente, pero por un error puntual de calculó quedó un importe de 0,01 euros de deuda".

De esta forma, según Telefónica, no existió alta en el fichero de morosos sino un error material en el cálculo, y no se comunicó la baja en el registro de morosos porque sólo hacía falta “rectificar el error material que publicaba el fichero”.

Sin embargo, la Audiencia Nacional ha desestimado la posición de Telefónica y ha confirmado la Resolución de 7 de junio de 2010 de la AEPD, dictada en el procedimiento PS 00457/2009, por la que se sanciona a Telefónica (aunque se rebaja la multa de 60.101,21 a 40.001 euros), por aplicación de las cuantías establecidas en la LES.

La agencia de protección de datos sanciona a IKEA por instalar cámaras

La Agencia Española de Protección de Datos impuso una multa de 40.000 euros a IKEA por instalar cámaras en el local que la multinacional tiene en el centro comercial Marineda City sin advertir a los transeúntes que estaban siendo grabados. El Movemento polos Dereitos Civís denunció a la multinacional del mueble y un año y cinco meses después, según informó la entidad sin ánimo de lucro, la agencia de protección de datos multó a IKEA.

Las instalaciones, según la entidad, vulneran la normativa vigente sobre protección de datos, ya que la zona carecía de señales que indicase a los clientes del centro que estaban siendo grabados. El Movemento polos Dereitos Civís sostiene en un escrito enviado a los medios de comunicación que, tras la denuncia, la multinacional presentó fotos en las que se observaban las señales, que fueron "colocadas a posteriori".

"Las modificaciones realizadas por IKEA no convencieron a la agencia de protección de datos, ya que consisten en pinceladas y reorientaciones de las cámaras que pueden ser perfectamente reubicadas y colocadas en la situación inicial y que dieron lugar a la sanción", destacan los miembros del Movemento polos Dereitos Civís, quienes destacan que el colectivo considera que no existen "garantías" de que IKEA no vuelva a incumplir la normativa y ponga "en peligro" los derechos recogidos en la normativa vigente sobre protección de datos.

El organismo sancionador destaca que la empresa admitió la "inadecuada" colocación de las cámaras y que se comprometió a reorientarlas de forma que no graben la vía pública, ya que la compañía solo puede tomar imágenes dentro de sus instalaciones. "Sin embargo, no han acreditado que hayan retirado o reorientado una de las cámaras, que toma imágenes de la vía pública entendida como espacio libre de tránsito para las personas. En tal sentido, de la toma de imágenes de dicha cámara, se concluye que se trata de un espacio libre, por lo que no tiene sentido la captación de imágenes del centro de la plaza", señala la Agencia Española de Protección de Datos en su informe.

4 consejos para garantizar la protección de datos personales de tus clientes

Conociendo la ley vigente en relación a la protección y uso de datos: sin duda hoy se sigue sin saber lo que las empresas deben hacer o bien exigirle a sus proveedores que hagan. Lo anterior se agrava con la entrada en vigencia de multas por incumplimiento, lo que hace urgente el poner este tema en la mesa de trabajo y decisiones cuanto antes.

Formalizando las políticas y normas de captura, tenencia y uso de los datos: no es posible que solo un trabajador o unos pocos conozcan las políticas en protección de datos. Cualquiera de nuestros trabajadores puede meter la pata.

Permitiendo en todo medio de comunicación y relación con nuestros clientes que las personas puedan renunciar a esa relación, en los tiempos y formas que obliga la ley: esto implica elevar el nivel de respeto de la empresa hacia sus clientes, lo que sin duda es mejor que no respetar sus derechos como dicta la ley.

Contratando proveedores que garanticen que cumplen con la ley vigente y políticas en temas de proteción de datos, de manera formal y contractual.

Rastreator.com envía un email el 1 de Enero para informar que va a ceder la información de sus usuarios

El comparador de seguros de coche Rastreator.com, ha enviado un email a todos sus usuarios el pasado 1 de Enero para informar que disponen de 30 días para solicitar la baja de sus datos personales o en su defecto serán cedidos automáticamente a terceras empresas que realizarán "promociones, estudios de opinión, estadísticos, campañas o actividades de publicidad". Entre los datos recopilados en las simulaciones de comparación de seguros se encuentran la edad, profesión, estado civil, número de hijos, código postal o dirección de email. 

Mensaje enviado a todos sus usuarios:

"Estimado usuario

Desde RASTREATOR.COM, Limited Sucursal en España, queremos trasladarte nuestros valores y energía, cuidando la relación que mantenemos contigo y que nos permite ofrecerte los servicios y productos que consideramos más adecuados a tus necesidades concretas.

Por ello necesitamos tu consentimiento para que RASTREATOR.COM, Limited Sucursal en España, a través de promociones, estudios de opinión, estadísticos, campañas o actividades de publicidad o marketing, basadas o no en estudios de mercado y análisis de perfiles de compra, utilice tus datos derivados de la relación comercial que mantienes con nosotros para ofrecerte, a través de cualquier medio o canal, incluso medios telemáticos de conformidad con el artículo 21 de la Ley de Servicios a la Sociedad de la Información, informaciones y ofertas personalizadas o no, sobre productos o servicios relacionados con los siguientes sectores: seguros, finanzas, automovilístico, agencias de viaje minorista, mayorista de viajes, servicios hoteleros, call center, aerolíneas, gestión de aeropuertos, alquiler de vehículos, telecomunicaciones, apuestas on line, centros especiales de empleo, gestión de eventos, transporte de pasajeros, financiero, legal, ocio, formación, gran consumo, automoción, energía, agua, ongs, ocio, viajes, hogar, servicios técnicos y reparaciones, así como cualesquiera otros de interés para ti, por parte de RASTREATOR.COM, Limited Sucursal en España.

Si no recibimos notificación alguna por tu parte en el plazo de 1 mes, entenderemos que das tu consentimiento, en las condiciones antes señaladas.

Finalmente te informamos que tus datos obtenidos a través de las peticiones de presupuesto de seguros que nos has solicitado y el desarrollo de la relación que mantienes con nuestra Compañía, se incorporan a un fichero del que es responsable RASTREATOR.COM, Limited Sucursal en España, con la finalidad de tratarlos en la gestión de la relación comercial, además de las finalidades recogidas en los párrafos precedentes.
De conformidad con la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), en cualquier momento podrás ejercitar los derechos de acceso, rectificación, cancelación y oposición dirigiéndote a la siguiente dirección RASTREATOR.COM, Limited Sucursal en España, Calle Juan Hurtado de Mendoza, 17, oficina A, código postal 28036, Madrid, o a través del E-mail: bajas@rastreator.com"