viernes, 7 de noviembre de 2008
Videovigilancia en los baños de un Instituto Valenciano.
La polémica en torno al sistema de control de alumnos del instituto público de Abastos subió ayer varios grados: la Agencia de Protección de Datos abrió una investigación de oficio para esclarecer si la red de videovigilancia (24 cámaras que graban, entre otros lugares, dos baños de mujeres); y el dispositivo de acceso (que identifica a los alumnos por la huella dactilar) son ilegales. La agencia estatal señaló que las medidas "podrían resultar desproporcionadas e intrusivas para la privacidad de los alumnos", y "ser constitutivas de infracciones graves y muy graves de la Ley de Protección de Datos". Articulo completo
6 de Noviembre ... Fuent: Elpais.es
El Instituto de Educación Secundaria (IES) Abastos de Valencia ha anunciado hoy que ha decidido retirar las cámaras de vigilancia que se habían colocado en "zonas de especial sensibilidad" como los aseos, así como no proceder a la instalación del sistema de reconocimiento por huellas dactilares en los accesos al edificio, de manera que los tornos se activarán mediante tarjeta magnética.
En la nota difundida a los medios, el IES Abastos lamenta "profundamente que haya habido personas que puedan haber sentido su intimidad menoscabada por la inclusión de cámaras en zonas de especial sensibilidad, a las que pedimos disculpas si esto ha sido así". En este sentido, recalca que "no ha sido ni mucho menos voluntad de este centro vulnerar ningún derecho, habiendo tenido como objeto de toda acción el deseo de garantizar el buen funcionamiento del mismo, evitar daños o desperfectos y, en definitiva, ofrecer un mejor espacio para el desarrollo educativo de sus alumnos". "Siempre se ha actuado de buena fe, buscando y aprovechando las nuevas tecnologías para un mejor funcionamiento que permitiera el libre tránsito de las personas con derecho a salir del edificio, así como una mejor conservación del mismo", agrega. Articulo completo
Lo mas gracioso es que sólo se instalaron en los baños de las chicas... en él de los chicos NO!!!
Los gallegos denuncian por atacar su intimidad
Galicia es ya la cuarta autonomía con más quejas ante la Agencia de Protección de Datos, tras un alza del 35% . En la comunidad hay instaladas 968 cámaras de videovigilancia.
Impresión de documentos y LOPD
Situación de la impresora: cualquier dispositivo físico por el que pueda accederse a datos (no sólo impresoras, también fotocopiadoras, escáneres y similares) deben estar instalados de forma estratégica a fin de evitar la visualización de la información por parte de personas no autorizadas. Al hilo de lo anterior, es recomendable que las áreas o departamentos que traten información más sensible (datos contables, financieros, recursos humanos) utilicen un periférico propio y no compartido con otros usuarios.
Establecimiento de perfiles de acceso a los dispositivos de impresión, con la finalidad de que sólo las personas autorizadas puedan imprimir por la impresora asignada.
Retirada de documentación de la impresora: cuando el usuario envíe documentación a la impresora con información de carácter personal o confidencial, deberá retirarla de la bandeja de salida cuanto antes, comprobando que no quedan documentos en la misma. Además, puede darse el caso de impresoras compartidas por varios empleados, que, por otro lado, podrían no estar autorizados a acceder a la información personal que se está enviando a la cola de impresión, por lo que el responsable de ese envío deberá mostrar una diligencia mayor a la hora de retirar los documentos según van siendo impresos.
martes, 4 de noviembre de 2008
Principios e Implicaciones de la LOPD y de su Reglamento (1720/2007)
El tratamiento de datos de carácter personal ha de realizarse de acuerdo con los principios de información, calidad, finalidad, consentimiento y seguridad. Dichos principios se plasman en diversos preceptos de la LOPD.
Los principios de la LOPD pretenden proteger los datos personales de los interesados:
- Los datos deben tratarse de manera leal y lícita.
- Los datos deben recogerse con fines determinados, explícitos y legítimos. Los datos deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y los fines para los que se han recogido.
- Los datos deben ser exactos y mantenerse actualizados de manera que respondan con veracidad a la situación actual de su titular.
- Los responsables deben atender a los interesados que soliciten el acceso a sus datos personales.
- Los datos personales sólo deben conservarse durante el tiempo necesario para las finalidades del tratamiento para el que han sido recogidos. Deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para el fin con que se obtuvieron.
Se enumeran en el siguiente apartado, las principales implicaciones para las empresas que exige la normativa de protección de datos personales.
1. Declaración de los ficheros automatizados, no automatizados o mixtos en la Agencia de Protección de Datos. (Art. 39 LOPD - Título V, Capítulo II, Art. 55 RDLOPD).
2. Información al interesado sobre la recogida de datos. (Art. 5 LOPD - Capítulo II sección 2ª RDLOPD).
3. Solicitud de consentimiento del interesado para el tratamiento de sus datos. (Art. 6 LOPD - Capítulo II sección 1ª RDLOPD). Solicitud de consentimiento para tratar datos de menores de edad. (Art. 13 LOPD).
4. Determinación de la finalidad y definición de la calidad de los datos: clasificación, reclasificación (si fuese necesario), ordenación y agrupación de ficheros automatizados y no automatizados. (Art. 8 LOPD - Título II Capítulo I RDLOPD).
5. Información al interesado y gestión de la comunicación o cesión de datos de carácter personal. (Art. 11 LOPD – Art. 10, 12, 16 RDLOPD).
6. Gestión de derechos de acceso, rectificación, cancelación y oposición (derechos A.R.C.O.) (Título III LOPD - Título III RDLOPD).
7. Gestión del tratamiento de datos de carácter personal en transferencias internacionales. (Título V LOPD – Título VI RDLOPD).
8. Tratamiento de datos de carácter personal con fines publicitarios y prospección comercial. (Art. 30 LOPD – Título IV, Sección 2ª, Capítulo II).
9. Definición del encargado del tratamiento y el responsable del fichero. (Art. 12 LOPD – Art. 5, 20, 82 RDLOPD).
10. Gestión de medidas de seguridad aplicables a las distintas tipologías de datos. (Disposición transitoria segunda, Título VIII RDLOPD).
- Desarrollo del documento de seguridad en el que consten las medidas tanto técnicas como organizativas que garanticen un adecuado tratamiento de los datos de carácter personal. (Art. 88 RDLOPD).
- Divulgación de las normas de seguridad adoptadas a todo el personal de la empresa. (Art. 89.2 RDLOPD).
- Control de acceso por parte de los usuarios a los datos de carácter personal. (Art. 91, 99 RDLOPD).
- Definición del mecanismo de identificación/autenticación de los usuarios del sistema. (Art. 93 RDLOPD).
- Gestión de copias de respaldo y recuperación de los ficheros con datos de carácter personal. (Art. 94, 102 RDLOPD).
- Desarrollo del registro de incidencias en el que conste fecha, posible motivo y responsable en el momento de ocurrir las incidencias relativas a datos de carácter personal. (Art. 90, 100 RDLOPD).
- Gestión de soportes y documentos. (Art. 92, 97, 101 RDLOPD).
- Definición del responsable de seguridad (Art.95 RDLOPD).
- Auditoría bienal sobre los sistemas de información, instalaciones, personas y procesos cuyos ficheros sean declarados de nivel medio o alto. (Art. 96, 110 RDLOPD).
- Criterios de archivo para la correcta conservación y localización de documentos que contengan datos de carácter personal. (Art. 106 RDLOPD).
- Gestión de accesos a la documentación sólo por personal autorizado. (Art. 113 RDLOPD).
- Definición del responsable de seguridad para los documentos que contengan datos de carácter personal. (Art 109 RDLOPD).
- Despliegue de medidas de protección física para los ficheros no automatizados con datos de carácter personal. (Art. 107, 111 RDLOPD).
- Definición de mecanismos contra la copia y reproducción no autorizada de ficheros no automatizados. (Art. 112 RDLOPD).