viernes, 7 de noviembre de 2008
Videovigilancia en los baños de un Instituto Valenciano.
La polémica en torno al sistema de control de alumnos del instituto público de Abastos subió ayer varios grados: la Agencia de Protección de Datos abrió una investigación de oficio para esclarecer si la red de videovigilancia (24 cámaras que graban, entre otros lugares, dos baños de mujeres); y el dispositivo de acceso (que identifica a los alumnos por la huella dactilar) son ilegales. La agencia estatal señaló que las medidas "podrían resultar desproporcionadas e intrusivas para la privacidad de los alumnos", y "ser constitutivas de infracciones graves y muy graves de la Ley de Protección de Datos". Articulo completo
6 de Noviembre ... Fuent: Elpais.es
El Instituto de Educación Secundaria (IES) Abastos de Valencia ha anunciado hoy que ha decidido retirar las cámaras de vigilancia que se habían colocado en "zonas de especial sensibilidad" como los aseos, así como no proceder a la instalación del sistema de reconocimiento por huellas dactilares en los accesos al edificio, de manera que los tornos se activarán mediante tarjeta magnética.
En la nota difundida a los medios, el IES Abastos lamenta "profundamente que haya habido personas que puedan haber sentido su intimidad menoscabada por la inclusión de cámaras en zonas de especial sensibilidad, a las que pedimos disculpas si esto ha sido así". En este sentido, recalca que "no ha sido ni mucho menos voluntad de este centro vulnerar ningún derecho, habiendo tenido como objeto de toda acción el deseo de garantizar el buen funcionamiento del mismo, evitar daños o desperfectos y, en definitiva, ofrecer un mejor espacio para el desarrollo educativo de sus alumnos". "Siempre se ha actuado de buena fe, buscando y aprovechando las nuevas tecnologías para un mejor funcionamiento que permitiera el libre tránsito de las personas con derecho a salir del edificio, así como una mejor conservación del mismo", agrega. Articulo completo
Lo mas gracioso es que sólo se instalaron en los baños de las chicas... en él de los chicos NO!!!
Los gallegos denuncian por atacar su intimidad
Galicia es ya la cuarta autonomía con más quejas ante la Agencia de Protección de Datos, tras un alza del 35% . En la comunidad hay instaladas 968 cámaras de videovigilancia.
Impresión de documentos y LOPD
Situación de la impresora: cualquier dispositivo físico por el que pueda accederse a datos (no sólo impresoras, también fotocopiadoras, escáneres y similares) deben estar instalados de forma estratégica a fin de evitar la visualización de la información por parte de personas no autorizadas. Al hilo de lo anterior, es recomendable que las áreas o departamentos que traten información más sensible (datos contables, financieros, recursos humanos) utilicen un periférico propio y no compartido con otros usuarios.
Establecimiento de perfiles de acceso a los dispositivos de impresión, con la finalidad de que sólo las personas autorizadas puedan imprimir por la impresora asignada.
Retirada de documentación de la impresora: cuando el usuario envíe documentación a la impresora con información de carácter personal o confidencial, deberá retirarla de la bandeja de salida cuanto antes, comprobando que no quedan documentos en la misma. Además, puede darse el caso de impresoras compartidas por varios empleados, que, por otro lado, podrían no estar autorizados a acceder a la información personal que se está enviando a la cola de impresión, por lo que el responsable de ese envío deberá mostrar una diligencia mayor a la hora de retirar los documentos según van siendo impresos.
martes, 4 de noviembre de 2008
Principios e Implicaciones de la LOPD y de su Reglamento (1720/2007)
El tratamiento de datos de carácter personal ha de realizarse de acuerdo con los principios de información, calidad, finalidad, consentimiento y seguridad. Dichos principios se plasman en diversos preceptos de la LOPD.
Los principios de la LOPD pretenden proteger los datos personales de los interesados:
- Los datos deben tratarse de manera leal y lícita.
- Los datos deben recogerse con fines determinados, explícitos y legítimos. Los datos deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y los fines para los que se han recogido.
- Los datos deben ser exactos y mantenerse actualizados de manera que respondan con veracidad a la situación actual de su titular.
- Los responsables deben atender a los interesados que soliciten el acceso a sus datos personales.
- Los datos personales sólo deben conservarse durante el tiempo necesario para las finalidades del tratamiento para el que han sido recogidos. Deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para el fin con que se obtuvieron.
Se enumeran en el siguiente apartado, las principales implicaciones para las empresas que exige la normativa de protección de datos personales.
1. Declaración de los ficheros automatizados, no automatizados o mixtos en la Agencia de Protección de Datos. (Art. 39 LOPD - Título V, Capítulo II, Art. 55 RDLOPD).
2. Información al interesado sobre la recogida de datos. (Art. 5 LOPD - Capítulo II sección 2ª RDLOPD).
3. Solicitud de consentimiento del interesado para el tratamiento de sus datos. (Art. 6 LOPD - Capítulo II sección 1ª RDLOPD). Solicitud de consentimiento para tratar datos de menores de edad. (Art. 13 LOPD).
4. Determinación de la finalidad y definición de la calidad de los datos: clasificación, reclasificación (si fuese necesario), ordenación y agrupación de ficheros automatizados y no automatizados. (Art. 8 LOPD - Título II Capítulo I RDLOPD).
5. Información al interesado y gestión de la comunicación o cesión de datos de carácter personal. (Art. 11 LOPD – Art. 10, 12, 16 RDLOPD).
6. Gestión de derechos de acceso, rectificación, cancelación y oposición (derechos A.R.C.O.) (Título III LOPD - Título III RDLOPD).
7. Gestión del tratamiento de datos de carácter personal en transferencias internacionales. (Título V LOPD – Título VI RDLOPD).
8. Tratamiento de datos de carácter personal con fines publicitarios y prospección comercial. (Art. 30 LOPD – Título IV, Sección 2ª, Capítulo II).
9. Definición del encargado del tratamiento y el responsable del fichero. (Art. 12 LOPD – Art. 5, 20, 82 RDLOPD).
10. Gestión de medidas de seguridad aplicables a las distintas tipologías de datos. (Disposición transitoria segunda, Título VIII RDLOPD).
- Desarrollo del documento de seguridad en el que consten las medidas tanto técnicas como organizativas que garanticen un adecuado tratamiento de los datos de carácter personal. (Art. 88 RDLOPD).
- Divulgación de las normas de seguridad adoptadas a todo el personal de la empresa. (Art. 89.2 RDLOPD).
- Control de acceso por parte de los usuarios a los datos de carácter personal. (Art. 91, 99 RDLOPD).
- Definición del mecanismo de identificación/autenticación de los usuarios del sistema. (Art. 93 RDLOPD).
- Gestión de copias de respaldo y recuperación de los ficheros con datos de carácter personal. (Art. 94, 102 RDLOPD).
- Desarrollo del registro de incidencias en el que conste fecha, posible motivo y responsable en el momento de ocurrir las incidencias relativas a datos de carácter personal. (Art. 90, 100 RDLOPD).
- Gestión de soportes y documentos. (Art. 92, 97, 101 RDLOPD).
- Definición del responsable de seguridad (Art.95 RDLOPD).
- Auditoría bienal sobre los sistemas de información, instalaciones, personas y procesos cuyos ficheros sean declarados de nivel medio o alto. (Art. 96, 110 RDLOPD).
- Criterios de archivo para la correcta conservación y localización de documentos que contengan datos de carácter personal. (Art. 106 RDLOPD).
- Gestión de accesos a la documentación sólo por personal autorizado. (Art. 113 RDLOPD).
- Definición del responsable de seguridad para los documentos que contengan datos de carácter personal. (Art 109 RDLOPD).
- Despliegue de medidas de protección física para los ficheros no automatizados con datos de carácter personal. (Art. 107, 111 RDLOPD).
- Definición de mecanismos contra la copia y reproducción no autorizada de ficheros no automatizados. (Art. 112 RDLOPD).
sábado, 25 de octubre de 2008
Protección de datos de 37 países alertan del peligro contra la privacidad de las redes sociales
Dicha resolución recomienda a los usuarios plantearse qué datos personales publican en un perfil de red social y plantearse la utilidad de usar un seudónimo en lugar de su nombre real cuando creen un perfil. También es importante prestar "un cuidado especial" sin el consentimiento de dichas personas. En lo que se refiere a los menores, las autoridades de protección de datos y privacidad aconsejan evitar revelar sus domicilios o números de teléfono . En el transcurso de la conferencia se planteó que el auge de estos servicios ha propiciado un nivel sin precedentes de divulgación de información personal y fotografías y que los datos incluidos en los perfiles pueden filtrarse fuera ellas cuando son indexados por los buscadores. También se alertó sobre el incremento de fraude de identidad, por la amplia disponibilidad de datos personales en los perfiles de sus usuarios y sobre que responsables de personal de algunas empresas suelen investigar los perfiles de candidatos a un puesto de trabajo o empleado . Además, se destacó el hecho de que los propios proveedores de servicios de las redes sociales utilicen la información de sus usuarios para emitir mensajes de Marketing personalizado a sus usuarios.
Protección de Datos estima una reclamación contra la DGT por el carné por puntos.
Denuncia contra Fadesa por grabaciones ilegales
De acuerdo con las denuncias, "la compañía dispone de cámaras interiores que han sido utilizadas para espiar a los empleados que acudían a una reunión sindical, cuya grabación está disponible sin protección alguna". Los denunciantes aluden a la prohibición expresa en la Ley de Seguridad Privada, que sanciona actividades de vídeovigilancia "sobre conflictos políticos o laborales, control de opiniones, recogida de datos personales con tal objeto".
Continuará...
El Gobierno destina mas de 1M de € a Protección de Datos
En concreto, esta aportación irá destinada al mantenimiento de equipos informáticos (servicio 'posting'), así como a las comunicaciones telefónicas (web, correo de empresas) y postales.
Además, se financiarán los gastos corrientes derivados de la gestión y recaudación en vía de apremio de sanciones impuestas por infracción de la Ley Orgánica de Protección de Datos (Convenio con la Agencia Estatal de la Administración Tributaría).
miércoles, 3 de septiembre de 2008
Nivel de adopción de la normativa sobre protección de datos en la pyme
La pyme española muestra un bajo nivel de conocimiento de la normativa sobre protección de datos, tanto de la LOPD, vigente desde 1999 (34%) como del reciente reglamento de desarrollo (RDLOPD), en vigor desde abril de 2008 (14%). Dado que la ley lleva en vigor casi diez años, que su aplicación es de obligado cumplimiento para todas las empresas con ficheros de datos personales, y que se prevén sanciones ante su incumplimiento, preocupa el escaso conocimiento de la misma entre el colectivo pyme. De hecho, prácticamente la totalidad de empresas manejan datos personales: el 96% de las pymes españolas disponen de ficheros con datos de carácter personal (ya sea en sus sistemas informáticos o en sus archivos en papel) y están por tanto potencialmente sujetas a la normativa.
Un 37% afirma haber declarado sus ficheros ante la AEPD; la verificación posterior confirma que sólo un 16% de las pymes ha notificado efectivamente los ficheros ante el Registro General de Protección de Datos. Este dato es coherente con la postura de la AEPD, que estima que el nivel de cumplimiento de la obligación entre las pymes es de entre el 10 y el 15%. El desfase entre declaración y situación real confirma la existencia de un alto sesgo (motivado por el objeto del estudio: nivel de cumplimiento de una ley) y hace sospechar que el resto de resultados pueden verse afectados por este mismo sesgo.
• El nivel de cumplimiento declarado de las principales obligaciones previstas en la LOPD se mueve en torno al 20-30%. Si se asume un cierto sesgo en las respuestas, el nivel sería todavía más reducido. Algunos de los datos más relevantes son:
o Empresas que cumplen con el deber de información: 29%
o Empresas que cumplen con el deber de consentimiento: 29%
o Empresas que disponen de datos personales completos y exactos: 28%
o Empresas que han establecido procedimientos para garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos A.R.C.O.) por los particulares: 20%.
• El cumplimiento no es homogéneo entre las diferentes medidas de seguridad previstas en el reglamento. Éste se ha analizado sólo para las empresas que afirman haber declarado sus ficheros ante la AEPD, y oscila entre un 25% para las medidas menos implementadas y un 90% para las más exitosas. A continuación se enumera el nivel de cumplimiento de algunas de las medidas analizadas:
o Empresas que disponen de documento de seguridad: 82%
o Empresas que han divulgado la normativa de seguridad entre sus empleados: 72%
o Empresas que cuentan con un registro de incidencias: 25%
o Empresas que tienen implantado un control de acceso: 89%
o Empresas con usuario y contraseña: 48%
Por lo que respecta al comportamiento de las pymes con respecto a ficheros no automatizados, el 20% tiene establecidas medidas de seguridad equivalentes en el caso de ficheros automatizados y no automatizados, y el 23% afirma clasificar su documentación en papel en función de la confidencialidad del contenido. Aunque no se trata de una exigencia normativa, supone un indicio de que un 20% del tejido pyme español muestra una especial sensibilización hacia el tratamiento
de ficheros con datos personales en soporte papel, y por tanto parece que entre ellas la adaptación a las disposiciones del reglamento resultará, a priori, sencillo.
• A pesar de que los datos sobre nivel de cumplimiento son ciertamente mejorables, el mensaje final lanzado por las pymes es positivo: un 82% manifiesta estar concienciada sobre la necesidad de cumplimiento de la normativa, y un 79% afirma que destinará recursos (humanos y económicos) para su implementación.
Queda mucho por hacer !!!
viernes, 25 de abril de 2008
PELIGROS DEL ACCESO A INTERNET
Este hecho posibilitó que esos archivos que incluían información ginecológica de los pacientes fueran accesibles en la Red...... Sigue aquí
Por su parte, las asociaciones de internautas criticaron "la falta de información" de gran parte de usuarios de programas de intercambio de archivos que permiten una "fuga de datos" que, en ocasiones, provocan "situaciones no deseadas", debido a su alto nivel de protección.
- Mandar esta Noticia a Todos los empleados con acceso a datos personales (La falta de información es una de las causas principales de "fuga de datos")
- Recordar regularmente a los empleados las Normas de Seguridad establecidas
- Verificar que los puestos de trabajo no tienen instalado ningún tipo de aplicación de intercambio de ficheros, como: EMULE, ARES, Etc..
- Utilizar el Firewall del servidor para limitar este tipo de trafico
lunes, 21 de abril de 2008
BOLETIN LOPD PARA TODOS...
sábado, 19 de abril de 2008
Nuevo Reglamento sin Sobresaltos
domingo, 24 de febrero de 2008
CALENDARIO del Nuevo REGLAMENTO LOPD (R.D.1720/2007)
21 de diciembre de 2007: Aprobación del R.D 1720/2007
19 de Enero de 2008: Publicación en el B.O.E
- Los ficheros, tanto automatizados como no automatizados, creados a partir de entonces, deberán tener implantadas, desde el momento de su creación la totalidad de las medidas de seguridad reguladas en el mismo.
19 de Abril de 2009:
- Plazo máximo para fichero BÁSICO
- Plazo máximo para fichero MEDIO
- Plazo máximo para fichero ALTO
Ficheros que cambian de Nivel de Seguridad
19 de Abril de 2009:
- Plazo máximo para fichero MEDIO
- Plazo máximo para fichero ALTO
Enlaces --> Medidas se seguridad para los ficheros no automatizados
NUEVOS Niveles de Seguridad según el Nuevo Reglamento
Queda recalcar que:
A las solicitudes para el ejercicio de los derechos de acceso, oposición, rectificación y cancelación, y a los procedimientos y actuaciones previas iniciadas que hayan sido efectuadas antes de la entrada en vigor del real decreto, no les será de aplicación el mismo, rigiéndose por la normativa anterior.