La AEPD detecta importantes deficiencias en el cumplimiento de la protección de datos por los hospitales.

Casi dos de cada tres hospitales públicos (un 60%) no protegen debidamente las historias clínicas de sus pacientes y, por tanto, incumplen la Ley de Protección de Datos. Esta proporción es significativamente mayor a la de clínicas privadas concertadas, de las que sólo un 15% no garantizan la confidencialidad de los datos médicos.

El volumen creciente de quejas por parte de ciudadanos a la Agencia de Protección de Datos (AGPD) por el tratamiento que los hospitales hacen de sus datos médicos llevó el pasado marzo a este organismo a iniciar una investigación. Los resultados, presentados ayer, ponen de manifiesto que 11 años después de la aprobación de la ley, el 64% de los hospitales de la red sanitaria pública (que incluye a los centros de titularidad pública y a los concertados) todavía no la cumplen.

Las multas para los privados que incumplen son de hasta 600.000 euros

La AGPD ha enviado a los hospitales infractores un requerimiento para que corrijan sus protocolos en el plazo de seis meses. Si estos no actúan, los centros de titularidad privada podrían enfrentarse a multas de 300.000 a 600.000 euros. A los de titularidad pública se les abrirá un expediente.

Información denegada

El informe analiza 562 centros (268 públicos y 294 privados), aunque solicitó información a 605. De los 43 que no contestaron al requerimiento de la agencia, 23 son públicos y 20 privados. Esta infracción costará a los centros concertados una sanción de entre 60.000 y 300.000 euros. El director de la AGPD, Artemi Rallo, destacó al presentar el informe que Murcia y La Rioja, en global, son las autonomías cuyos hospitales más cumplen con la ley. En cambio, situó en el furgón de cola al País Valencià, Cantabria, Canarias y Aragón.

Algunos hospitales han llegado a tirar historiales en contenedores

El estudio divide el comportamiento de las autonomías centrándose en diversos aspectos de la protección de los datos del paciente. Atendiendo a la existencia de procedimientos para que el paciente pueda acceder, rectificar y cancelar determinados datos de su historial clínico, la AGPD destaca que en la mayoría de autonomías el número de hospitales que aplican estos sistemas supera el 75% del total. Rompen esta dinámica Cantabria (50%), País Valencià (62%), Canarias (64%) y Asturias (67%).

El País Valencià vuelve a situarse entre los peores si se tienen en cuenta los hospitales que disponen de un documento de seguridad preceptivo. Mientras más del 90% de hospitales lo tiene, en Canarias apenas disponen de él un 45% de los hospitales y en el País Valencià, un 49%. Además, un 55% de los hospitales de Balears y País Valencià no tienen procedimientos para notificar y gestionar posibles incidencias de seguridad. Superan, de largo, la media estatal del 20%.

En el informe no figuran los hospitales de Catalunya, ya que su agencia de protecciónde datos autonómica tiene competencias sobre los centros públicos y concertados de su red pública. En las otras dos autonomías con una agencia propia, Madrid y Euskadi, estas sólo tienen competencias sobre los centros de titularidad pública, por lo que los concertados sí están incluidos en el informe.

99 denuncias este año

La AGPD recibió en 2009 un total de 123 denuncias, y en lo que va de año ya acumula 99. En la práctica, estas infracciones se traducen en episodios tan graves como el que ocurrió en una clínica ginecológica del País Vasco en 2008, cuando el fichero con los datos personales y médicos de 11.300 mujeres fue difundido a través del programa de intercambio de datos Emule.

Ese mismo año, la Agencia Valenciana de Salud fue denunciada por haber transportado expedientes médicos en carros de supermercado y haber estacionado estos, sin ningún tipo de vigilancia, en los pasillos de un hospital. Cualquiera podría haber cogido uno de esos expedientes.

La AGPD también pretende evitar que las tarjetas sanitarias acaben en contenedores de basuras o escombros, como ocurrió el año pasado en dos hospitales de Murcia y Sevilla.

Nota de prensa de la Agencia : Click aqui
Informe Completo:  Click Aqui
La Noticia en 17 periodicos digitales: Click Aqui

Fuente: www.publico.es

60.101 € de multa a una inmobiliaria por incumplir la LOPD

Una inmobiliaria tendrá que pagar 60.101, 21 euros a una vecina de Santa Cruz por dar sus datos sin su permiso a la compañía de electricidad Unelco. Así lo ha determinado la Agencia Española de Protección de Datos (AEPD) que ha rechazado un recurso presentado por la inmobiliaria.

El organismo público, sin embargo considera probado que esta empresa facilitó los datos personales y bancarios de la propietaria de este inmueble a fin de que pudiera cumplimentar el formulario llamado "Póliza de abono para suministro de energía eléctrica" para la activación del alta de este servicio.

Sin embargo, según denunció la propietaria del inmueble el formulario de póliza de abono confeccionado por personal de la compañía contenía datos personales de la cliente, tales como dirección y de correspondencia que había sido proporcionados por la inmobiliaria. En el contrato se puede observar una rúbrica debajo del epígrafe donde dice "cliente" que no es la de la contratante.

Sigue aqui... http://www.laopinion.es/tenerife/2010/09/16/inmobiliaria-debe-pagar-60101-euros-dar-datos-clienta/304319.html

Multa a la Federación de Natación por publicar resultados en la web

El organismo ha sido sancionado con 3.600 euros por facilitar el nombre e identidad de un menor.

La Agencia Española de Protección de Datos ha sancionado con 3.000 y 601 euros, respectivamente, por una falta grave y otra leve a la Federación de Salvamento y Socorrismo de Castilla y León, por publicar en su página web datos de carácter personal de un menor en la relación de resultados de una prueba deportiva celebrada en Zamora. Los hechos se remontan al año 2008, cuando se hizo pública la clasificación del campeonato de socorrismo en sus diversas modalidades celebrado en Zamora en los que figuraban datos como en nombre y apellidos, DNI y año de nacimiento de los participantes deportistas menores de edad.

Un padre a título particular, aunque perteneciente al Club Deportivo Rondilla, presentó la denuncia ante la Agencia Española de Protección de Datos, que inició procedimiento sancionador y que acabó, en noviembre de 2009, con las sanciones mencionadas, abriendo un plazo de presentación de alegaciones tanto para el denunciado como para el denunciante.

La Federación presentó un recurso en el que básicamente alegaba que la publicación de los resultados en la página web venía establecido en el reglamento por el que se rige la organización. La relación federativa con los participantes en los campeonatos, que son federados, «incluye tratar sus datos y también abarca la publicación de resultados en la web, a la que no se precisa consentir por estar implícita en esta relación». Y menciona un artículo de la Federación Española de Salvamento y Socorrismo que permite la publicación en la página web y la normativa de Castilla y León que también preveía la difusión informática de los resultados. En el escrito, la Federación apreciaba, además, una «desproporción» en la sanción por la falta de intencionalidad y justifica la publicación de los datos, los resultados de la competición porque son «de interés general». El denunciante también presentó un recurso en el que achacaba la falta de cobertura legal de la publicación en la web de los resultados.

La Agencia de Protección de Datos, en sendas resoluciones dictadas en enero y febrero del presente año, 2010, rechaza los recursos presentados tanto por la Federación como por el denunciante y ratifica la sanción impuesta

Fuente: http://www.laopiniondezamora.es

Jefe de Policia Local denunciado por incumplir la Protección de Datos

Denuncian al jefe de la Policía Local por publicar en un tablón las multas de tráfico que pone cada agente.

Las actuaciones del jefe de la Policía Local de Mutxamel vuelven a estar en el punto de mira. En esta ocasión, el Sindicato Profesional de Policías Locales y Bomberos de la Comunidad Valenciana (SPPLB-CV) le acusa de atentar contra los derechos de los agentes al colocar en el tablón de anuncios de la comisaría un listado en el que aparecen las identificaciones de cada uno de los funcionarios policiales y las sanciones de tráfico que ha cursado al mes cada uno de ellos. Además, el sindicato critica que el intendente -el único que posee llave del tablón- acompaña el listado con un encabezamiento en el que ironiza sobre las pocas multas que ponen alguno de los agentes, poniendo en cuestión su labor profesional, lo que resulta "claramente irrespetuoso"

El SPPLB-CV también ha denunciado el asunto en la Agencia Española de Protección de Datos argumentando que el citado tablón de anuncios puede ser visto por personas ajenas al Cuerpo de la Policía Local y que los datos sobre las multas han sido obtenidos de SUMA -órgano dependiente de la Diputación Provincial que gestiona los expedientes por infracciones de tráfico-, una información que "se halla sometida al deber de sigilo y a la protección de datos", según subraya el SPPLB.

Fuente: http://www.diarioinformacion.com

Otro error de la Administración Publica

Educación, amonestada al enviar por fax datos médicos de una empleada.

Una resolución de la Agencia Española de Protección de Datos admite que la Consejería de Educación, Universidades, Cultura y Deportes del Gobierno de Canarias ha incurrido en una infracción la Ley Orgánica en esta materia, que además está tipificada como "muy grave". En concreto, la Agencia responde a una denuncia de una trabajadora de la Dirección General de Personal de la Administración educativa en diciembre de 2008.

La empleada se dirigió a la Agencia Española de Protección de Datos después de que en abril del mismo año la Dirección General de Universidades abriera "un sobre cerrado con la documentación y diagnóstico" de una revisión médica, encargada por la propia Consejería. Según la resolución, la empresa que realizó el reconocimiento médico remitió la información a una dirección general diferente a la que desempeña su trabajo la denunciante.

Por ello, desde el Gabinete de la consejera se remitió por fax el informe, situación que desencadenó la queja de la trabajadora. "Al solicitar explicaciones por estos hechos la denunciante manifiesta que el Gabinete le ha informado que al no disponer la Dirección General de Universidades de sede en Gran Canaria, toda la documentación que llega en sobre cerrado se abre y se envía su contenido por fax y posteriormente se envían los originales por correo o valija", según se recoge en la resolución de la Agencia.

El texto recoge que "la entidad imputada alega que la información a que se refieren los hechos no salieron nunca del ámbito de la propia Consejería" y que "en todo caso, el personal del departamento está sometido al deber del sigilo". Además, la Administración educativo informa de que "se está diseñando un plan en Protección de Datos para toda la Consejería regional de Educación".

No obstante, la Agencia requiere en su resolución que "adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción" y añade que "los sobres que contengan la historia clínica sólo podrán ser abiertos por el afectado". "Las resoluciones que recaigan en relación con las medidas adoptadas deberán ser comunicadas en el plazo de un mes a la Agencia", concluye la resolución.

Fuente : www.laopinion.es

WI-FI AL DESCUBIERTO

Llevamos años avisando sobre la debilidad de la seguridad de las redes WIFI, y hasta hace poco es verdad que para crackear las claves de acceso hacia falta algunos conocimientos informaticos, por lo que muchos han optado por utilizar el cifrado basico (WEP) para securizar su red privada.

Asi pues muchos creen que su red esta segura, ya que para acceder a ella hace falta introducir una clave...

Pues ya no es suficiente!!!, Fijate en la siguiente pagina web:

          "WIFI-BOX.es Descifrar Claves Wifi, Contraseñas, Clave Wep, Wifi Gratis" 

Wifi-Box es capaz de descifrar en minutos, las contraseñas Wifi que se encuentren a su alcance y que estén encriptadas con claves WEP. Tan solo es necesario disponer de un PC con unidad de CD-ROM y un único puerto USB. Una vez que Wifi-Box analice la red seleccionada, se mostrara en pantalla la contraseña de la misma.

Como averiguar el tipo de cifrado que utiliza tu WIFI:

Si en Autenticacion de red sale :Ninguna o WEP ....Cuidado cualquiera puede utilizar tu connexion a Internet!!!

Por desgracia, no se puede cambiar la configuracion desde aqui, hay que configurar el router!!

Si el router te lo ha proporcionado tu proveedor de internet (Telefonica, Orange,etc...), llamalo y exige que te ayuden a configurarlo correctamente !!!

Por lo menos utiliza WPA, aun que te recomendamos WAP2 con cifrado AES, que es la configuracion que actualmente aporta mas seguridad (aun que no al 100%), pero que tambien no esta soportada por todos los routers.

2009: 24,8 Miliones de Euros de multas por infrigir la LOPD

El crecimiento de la demanda ciudadana sobre sus derechos en materia de protección de los datos personales es un fenómeno incontestable.
En 2009 el número de reclamaciones planteadas ante la AEPD ha dado lugar a un incremento del 75% de las actuaciones iniciadas,que han llegado a superar las 4.100.

El importe de las sanciones impuestas ascendió a 24.872.979 €.Aunque esta cifra supone un incremento del 12,99% sobre el año anterior, se aproxima al volumen de sanciones declaradas en el año 2006. (24.422.293 €).
Con la relevante diferencia de que el número de procedimientos sancionadores resueltos en 2009 es superior en un 235% al del 2006. (709 frente a 301).

Las principales infracciones declaradas son:
- Infracciones del deber de secreto.
- Falta de medidas de seguridad, incluidos los hallazgos de documentación accesibles en la vía publica o en la basura.
- Tratamiento de datos con conculcación del principio de calidad de datos.
- Omisión del deber de información.
- Creación de ficheros sin disposición general habilitante y no inscripción en el RGPD.
- Cesión ilícita de datos.

El número de casos en que se apreció una disminución cualificada de la responsabilidad de los infractores fue del 40,72% del total de resoluciones sancionadoras.

Los criterios aplicados para apreciar esta circunstancia fueron los siguientes:
- Cuando la entidad imputada ha absorbido o se haya fusionado con la entidad responsable que originó la infracción y no ha transcurrido un periodo prolongado.
- Cuando la entidad imputada dispone de un protocolo de actuación adecuado en la recogida de datos y tal protocolo haya, excepcionalmente, fallado.
- Cuando la entidad imputada ha regularizado la situación denunciada de forma diligente en un tiempo prudencial desde el conocimiento de los hechos.- Cuando los hechos denunciados deriven de un error de difícil detección (no producido por una actuación negligente ni por la errónea aplicación de una norma).
- Cuando los hechos denunciados deriven de la falta de diligencia en la conducta del afectado o sea corresponsable de la infracción imputada a la entidad.
- Cuando quede acreditada la confianza legítima y no quepa la exoneración al obedecer la infracción a un requerimiento de la Administración.
- Cuando se trata de una persona física o pequeña o mediana empresa y la infracción se deba a cuestiones de cualificación técnica.

La agencia concluye que el incremento cuantitativo de las sanciones, consecuencia del incremento previo de las denuncias, no es obstáculo para apreciar una mejora en el cumplimiento de la LOPD, al crecer los incumplimientos por motivos formales, reducirse las infracciones muy graves y diminuir la culpabilidad cuando se comete una infracción.

¿Las redes sociales son una moda?

O el mayor cambio desde la revolución Industrial?

Sabias que …?:
- Las redes sociales han superado a la pornografía como primera actividad realizada con la red.
- 1 de cada 8 parejas casadas se han conocido a traves de alguna red social en EEUU.
- Total de años para conseguir 50 MM de usuarios:
Radio: 38 años!
Televisión: 13 años!
Internet: 4 años!
iPod:3 años!
Facebook: 3 meses… Facebook consiguió 200 MM de usuarios en menos de 1 año!!!
- Rancking de la populación mundial:
1. China
2. India
3. FACEBOOK
4. Estados Unidos
5. Indonesia
6. Brasil
- 80% de las empresas utiliza FACEBOOK en sus procesos de selección de personal.
- El segmento de más rápido crecimiento en FACEBOOK son las mujeres de entre 55 y 65 años!
- En Inglaterra, el 50% del tráfico de Internet vía teléfono móvil, es utilizado para FACEBOOK.
- Los jóvenes de -de 30 consideran el EMAIL una antigüedad!
- Algunas universidades han dejado de proporcionar cuentas de correo, ahora proporcionan, ibook, ipad's o portatiles!
- Youtube ya es el segundo buscador de internet del mundo. Y cada 5 minutos se suben más de 100 horas de video.
- La Wikipedia tiene más de 15 MM de artículos (22% en ingles), algunos consideran que es más potente de cualquiera de las enciclopedias escritas hasta la fecha. Cada hora se escriben más de 1700 Artículos.
- Hay más de 200.000.000 de blogs creados. Uno de cuatro resultados de búsquedas más realizadas en internet, conducen a páginas con contenidos creados por los propios usuarios. El 34% de los lectores de blog, opinan sobre productos o marcas.

¿Las redes sociales son una moda?

GOOGLE INVESTIGADO POR LA AEPD

La AEPD abre una investigación a Google por la captación de datos de redes WI-FI en España:

• Analizará si Google ha vulnerado la normativa española de protección de datos y los derechos de los ciudadanos españoles.
• Requiere a Google que explique si se han captado datos sin consentimiento de ciudadanos en España.
• Google ha reconocido en su blog corporativo que, los coches que utiliza para fotografiar las calles de distintas ciudades, además de datos de localización de las redes WI-FI, han recopilado datos de tráfico asociados a esas redes (datos transferidos a través de redes WI-FI abiertas).
• La AEPD ha remitido un requerimiento a Google instándole a bloquear los datos de tráfico asociados a las redes WI-FI (payload) recabados en territorio español.

(Madrid, 19 de mayo de 2010). El director de la Agencia Española de Protección de Datos, Artemi Rallo, ha ordenado que se inicien actuaciones de investigación para determinar si Google ha vulnerado la normativa española de protección de datos, y los derechos de los ciudadanos al captar y almacenar sin consentimiento datos de localización de redes WI-FI y datos de tráfico asociados a esas redes (datos transferidos mediante las mismas).

Google ha reconocido recientemente que, mediante los coches que ha utilizado y utiliza para fotografiar las calles de distintas ciudades del mundo, para la aplicación Street View, ha recopilado datos de localización de las redes WI-FI, -datos SSID (identificador de la Red que, en ocasiones, coincide con el nombre real del abonado de la red), y las direcciones MAC, (los números que identifican la dirección fija de los dispositivos router)-. Asimismo, el pasado fin de semana Google ha reconocido además, públicamente en su blog corporativo, la captación “por error”, de datos de tráfico asociados a las redes WI-FI (datos transferidos mediante redes abiertas).

En España el servicio Street View de Google inició la toma de datos en 2008. Para la AEPD, los hechos reconocidos por la propia compañía podrían constituir una vulneración de la Ley Orgánica de Protección de Datos.

Por ello, además de iniciar las actuaciones previas de inspección, la AEPD ha remitido un requerimiento a Google instando a la compañía a bloquear los datos de tráfico asociados a las redes WI-FI (payload) que actualmente se almacenan en los ficheros de Google y que han sido recabados en territorio español por equipos técnicos instalados en los vehículos StreetView.
Asimismo, ha requerido a Google que informe, entre otras cuestiones, del tipo de datos captados, la finalidad para la que han sido recabados y tratados estos datos, los procedimientos por los que han sido captados y almacenados, así como el número de ciudades españolas que han sido rastreadas hasta la fecha por los vehículos StreetView.

Fuente: www.agpd.es (Nota de Prensa)

Multada la Federación Andaluza de Beisbol y Softbol

La Federación Andaluza de Beisbol y Softbol, deberá pagar 9.600 por haber publicado en su web, el listado de los 575 Licenciados miembros de la federación, incluyendo nombre, apellidos, fecha de nacimiento, nº de licencia, nº del DNI y direcciones personales. Muchos de estos datos pertenecientes a menores de edad...

La FABS alego lo siguiente, pero tendrá de pagar igual!

-Que el documento Censo Electoral 08 no incluye datos de menores de edad, por no ser ni electores ni elegibles, luego no tiene razón de ser su inclusión.

-Que el documento donde se incluye una relación de 575 personas es la relación de licencias tramitadas por la federación y el alta en el Seguro deportivo obligatorio y en ningún momento se ha publicado en la página Web de la FABS ni en ningún otro sitio.

-Que el denunciante no es una persona ajena a la información restringida antes señalada sino que es Director del Club de Béisbol Sundevil de (.......). Por lo que éste tendría acceso a los archivos de dicho club por tanto a la información que se le envía desde la FABS. Asimismo esta persona esta inhabilitada por 4 años desde 2006.

-Podría existir una manipulación de archivos con algún ánimo de venganza.

La FABS firmo un protocolo de protección de datos hace aproximadamente 1 año que se podría remitir a esa Agencia si lo solicitasen. (J2M: extraño, si no tiene ni declarado los ficheros!!)

-Finalmente señalan que es cierto que el documento Censo Electoral 2008 Anexo Asamblea Enero 2008 fue publicado durante 5 días en la pagina Web de la FABS, pero este documento no incluye menores de edad y si incluía datos como DNI, fecha de nacimiento y dirección de personas

El documento en el que aparece la relación de licencias en el que la “Cargo 1” da fe es de 2006 y podría existir una confusión entre los dos documentos...

La sentencia se puede leer aqui (www.agpd.es)

ESTAFA CON DATOS DE CV

En el procedimiento sancionador 00100/2009 instruido por la Agencia de Protección de Datos, se impone una multa de 60.101 € a Doña A.A.A. (titular de un Tabaco), después de haber descubierto que emitía facturas falsas a personas físicas, utilizando sus datos personales recogido en los currículum que habían dejado en la entidad.

Los afectados no se habían dado cuenta hasta que Hacienda les pregunto por las facturas, ya que el Tabaco declaro unas 77 facturas que rondaban los 6.000€ cada una. (extraño para un negocio de este tipo!!).

Se descubrió la estafa cuando los afectados declararán a Hacienda que nunca habían comprado estas cantidades, pero si habían dejado unos currículum vitae para postular a una puesto de trabajo que anunciaba el negocio en cuestión.

Se puede leer la sentencia completa aquí (www.agpd.es)

EL FRAUDE DE LA LOPD A COSTE CERO...

Muchos profesionales dedicados a la seguridad de la información conocen este tipo de consultorías LOPD a 0 euros en los que se utilizan los fondos para formación que las empresas disponen para enmascarar una "formación LOPD" que realmente es una consultoría LOPD.
Por ello, a través de la Asociación de Profesionales de la Privacidad (APEP) se ha realizado varios comunicados a las administraciones publicada implicada y en los que se pide iniciar actuaciones directas contra este problema.

5 de Febrero de 2010
De forma conjunta con la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones (ASIMELEC), se ha presentado en el Registro de la Fundación Tripartita, escrito reflejando el posicionamiento de ambas asociaciones frente a este tema, solicitando la actuación de dicho organismo y la celebración de una reunión en la que de forma directa poder hacer entrega de la documentación que al respecto se ha ido recopilando.
Ver escrito: (http://www.apep.es/nuevo-paso-adelante-ante-la-fundacion-tripartita/)

8 De Febrero 2010
De forma conjunta con ASIMELEC, se ha procedido a presentar en el Registro de la Agencia Estatal de la Administración Tributaria escrito poniendo de manifiesto la incidencia que a nuestro juicio el fenómeno LOPD COSTE CERO tiene en relación con nuestro sistema impositivo.
Ver escrito: (http://www.apep.es/wp-content/uploads/2010/02/carta-AEAT-080210-REG.pdf)

14 de Avril 2010

Comunicado de la Fundacion Tripartita que avisa de que va a tomar las medidas oportunas para controlar de cercar estas malas prácticas y que las empresas que se han beneficiado de forma fraudulenta de los creditos de formacion, tendrán que devolver los importe bonificados y puede que, enfrentarse a multas por fraude fiscal!

http://www.fundaciontripartita.org/index.asp?MP=4&MS=105&TR=A&IDR=11&id=458

"Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social"

Conferencia “El Marco Legal del Marketing Digital”

Estas son las diapositivas correspondientes a la conferencia “El Marco Legal del Marketing Digital” que tanto Montse Peñarroya (directora aEjecutiva de GEA Internet Project consulting) como Juanjo Pérez (Socio y Director Comercial de J2M Consultores), impartieron el pasado jueves 18 de marzo en El Corte Inglés de Sabadell, en el marco del ciclo de conferencias para empresas que organiza esta entidad.

El Marc Legal del Marketing Digital - El Corte Ingles

View more presentations from Montserrat Peñarroya.

Como declarar un fichero.

Compartir esté artículo en Facebook

Multado con 60.000 € el médico que tiro Biopsias a la vía publica.

M. A. T., el patólogo gijonés acusado de tirar a la basura más de 40 botes que contenían biopsias de sus pacientes y que iban acompañados de pegatinas en las que se exponían datos personales de los enfermos, ha sido condenado al pago de una multa de 60.101,21 euros. La Agencia Española de Protección de Datos le considera responsable de un delito «grave», a pesar de que su caso fue archivado en los juzgados gijoneses.
La denuncia de este caso partió de la Asociación El Defensor del Paciente y fue la presidenta de esta institución, Carmen Flores, quien dio curso ante la Agencia Española de Protección de Datos. Los responsables de llevar a cabo el expediente contra este patólogo gijonés recogen en su resolución los argumentos que este médico ya esgrimió en su día. El acusado asegura que el abandono de las biopsias se debe a un «error» de la encargada de la limpieza, que se confundió cuando iba a sacar la basura. Además M. A. T. aseguró que «la totalidad de las biopsias retiradas por el error se referían a patologías sin la menor trascendencia».

Sin embargo estos argumentos no ha convencido a los encargados de resolver la denuncia: «El médico debió adoptar las medidas necesarias para evitar cualquier recuperación posterior de las biopsias, que contenían datos personales relacionados con la salud». El ahora denunciado ha incumplido un «deber de sigilo fundamental en las sociedades actuales, cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales».


La denuncia.

Acusado:
M. A. T., un patólogo gijonés acusado de tirar a la basura más de 40 biopsias en las que se incluían datos personales de los enfermos. La Asociación El Defensor del Paciente le denunció ante la Agencia Española de Protección de Datos.

Resolución:
El acusado ha sido condenado al pago de una multa de 60.101,21 euros al considerarle responsable de un delito grave en el tratamiento de datos personales.

Fuente:La curuxa

La Agencia Española de Protección de Datos ha exculpado al Ayuntamiento de Monforte

La Agencia Española de Protección de Datos (Aepd) ha exculpado al Ayuntamiento de Monforte de un supuesto delito relacionado con el abandono en la vía pública de documentos en los que aparecían datos personales de cientos de vecinos, tal y como a principios del pasado año había denunciado el polémico Jesús Pereira, líder de Independiente de Lemos (IdeL).

Las investigaciones realizadas por este organismo oficial constataron que los documentos que Pereira había asegurado haber encontrado junto a unos contenedores de basura cercanos a la casa consistorial "formaban parte de los dosieres que se entregaron con fecha 25 de febrero de 2009 a cada uno de los grupos políticos" y que integraban el legajo perteneciente al orden del día de un próximo pleno.

En este sentido, el alcalde, el nacionalista Severino Rodríguez, quien en todo momento había negado la infracción, insinuó en varias ocasiones que, quizá, algún miembros de los partidos de la oposición (PSOE y PP) le facilitasen copias de los papeles a Jesús Pereira para que los usase "con el único fin de hacerme daño tanto a mí como a la primera teniente de alcalde, María Xosé Vega".

En el informe de la Agencia de Protección de Datos en el que decide archivar la denuncia de Pereira, se añade que "el Ayuntamiento tiene establecido un procedimiento de destrucción de documentación" y que existen un documento de seguridad y otro de confidencialidad suscrito por todo el personal. También se refiere a la destrucción de los papeles con datos sensibles y a su depósito en bolsas de basura que se depositan en contenedores soterrados".

Sobre estas valoraciones, María Xosé Vega dijo que los inspectores de la Agpd "se quedaron sorprendidos del buen funcionamiento del sistema de protección de datos en nuestro Ayuntamiento. Se nos felicitó y hasta mostraron cierta sorpresa por el comportamiento tan escrupuloso y modélico que tenemos en esta materia", añadió.

A mayores, la Agencia Española de Portección de Datos manifiestó en su resolución que "no se han podido obtener pruebas que corroboren y acrediten la responsabilidad del Ayuntamiento en los hechos denunciados, por lo que conforme a la presunción de inocencia se procede acordar el archivo de las presentes actuaciones de investigación".

Fuente: El Progreso

El reglamento de la LOPD marca nuevos requisitos de Seguridad para las aplicaciones

El Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (en adelante RLOPD) incluye como novedad, no contemplada anteriormente ni en la LOPD ni el derogado RMS, una referencia a las obligaciones que deben cumplir los productos de software.

Concretamente, la Disposición adicional única del RLOPD establece que “Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento.”

Por tanto, todas aquellas aplicaciones utilizadas para el tratamiento de datos de carácter personal deberán cumplir las medidas de seguridad contenidas en el Reglamento en función del tipo de datos que en ellas se traten.

Los encargados de desarrollar estas herramientas deberán identificar el tipo de datos que van a almacenar en ellas, con el objeto de poder establecer y determinar las medidas de seguridad que será necesario aplicar (de nivel básico, medio y/o alto). Para ello es recomendable contar con el asesoramiento de especialistas en la materia que puedan indicarles cuáles son las medidas de seguridad legalmente establecidas que deben aplicar en cada caso.

Una vez identificado el tipo de datos, la aplicación en si misma deberá cumplir con las medidas establecidas para ese determinado nivel. Por ejemplo, si una aplicación almacena datos de salud, deberá cumplir con las obligaciones previstas para ese nivel, que es el nivel alto, y así deberá hacerse en cada caso con cada uno de los niveles establecidos por la normativa, recordando que éstos se aplican de forma acumulativa.

Es importante que las entidades responsables de esos datos comprueben a la hora de adquirir un determinado software que éste cumple con el nivel de seguridad exigible en concordancia con los datos que se van a almacenar en él.

Una entidad que maneja únicamente datos considerados de nivel básico (como puede ser un nombre, un DNI, una dirección, un teléfono, etc.) no necesita que su software esté dotado de medidas correspondientes a niveles superiores. Para facilitar esta identificación, los desarrolladores del software tienen que añadir a la descripción técnica del mismo cual es el nivel de seguridad que ese producto ofrece.

En este aspecto, J2M Consultores viene a ofrecer desde la entrada en vigor del Reglamento, un servicio de asesoramiento a las empresas desarrolladoras de software que les permiten conocer la medidas técnicas a implantar según el nivel de seguridad a alcanzar, y cumplir asi con esta nueva obligación marcada por la Ley. Así mismo, se realiza una auditoría de cumplimiento de la aplicación respecto a las medidas técnicas marcadas por el Reglamento, que puede utilizarse por parte del cliente como documentación de marketing y/o manual de seguridad para los administradores de sistemas encargados de implantar la aplicación.

Hay que recalcar que las empresas (que utilizan aplicaciones informáticas, que son casi todas), nunca podrán cumplir con la LOPD y su Reglamento, si el producto de software que utilizan no cubren las medidas técnicas requeridas por la Ley. Así pues, es uno de los requisitos mas importantes que debe tenerse en cuenta a la hora de adquirir cualquier tipo de aplicación, tanto si son estándares como desarrolladas a medida, y que permitan tratar datos de carácter personal.

Se duplica el número de inspectores para luchar contra la falta de adaptación a la LOPD en 2010.

Expertos juristas en Ley de Protección de Datos (LOPD) auguran un incremento considerable de las multas impuestas por la Agencia Estatal dedicada a velar por este derecho (AEPD) ante el desconocimiento generalizado que existe sobre la obligación de legalizar estos sistemas.

Hasta hace poco, la actividad del citado organismo era escasa, casi simbólica. Pero cada año, desde hace tres, ha convocado oposiciones para ampliar el cuerpo de inspectores y ya ha dado resultados.

En el último, la Agencia ha incrementado en toda España su actividad sancionadora en un 50%. Y ninguna empresa debe ser ajena a esta nueva realidad que amenaza con experimentar un crecimiento exponencial en 2010 y que sorprenderá a más de uno sin los deberes hechos.

Día de la Protección de Datos

El día 28 de enero se celebra por cuarta vez en Europa "El día de la Protección de Datos".

La Agencia de Protección de Datos, crea para el acontecimiento una pagina web en la cual recopila una serie de guias, vídeos, consejos y recomendaciones tanto para los cuidadanos como para las empresas.

Además pone a disposición de todos, unos elementos para promocionar la difusión del proyecto de impulsar el conocimiento entres los cuidadanos europeo de cúales son sus derechos y responsabilidades en materia de Protección de Datos.