Nuevo Reglamento Europeo de Protección de Datos en 2014

El trabajo para que la nueva norma entre en vigor en 2014 viene de año y medio atrás. Al proyecto del Parlamento Europeo y del Consejo, presentado en enero de 2012 y encabezado por la vicepresidenta de la Comisión Europea y responsable de Justicia, Viviane Reding, se presentaron alrededor de 4.000 enmiendas, todo un récord. Estados Unidos, por su parte, presionó para que una regulación tan restrictiva como la prevista no saliera adelante, ante las sospechas de que la nueva norma podría perjudicar sus intereses en esta materia. En lo que respecta a España, endurecerá nuestra actual Ley de Protección de Datos.

De momento, el borrador del Reglamento ha pasado su primer corte, tras la aprobación, el pasado 21 de octubre, del informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (Comisión LIBE). Este documento es el punto de partida para iniciar la fase de “trílogos”. Estos “trílogos son  negociaciones a tres bandas entre el Consejo, la Comisión Europea y el Parlamento Europeo. La votación en el Pleno del Parlamento Europeo está prevista para marzo de 2014, antes de que finalice la legislatura europea.

Un error de Google deja en entredicho la privacidad de los internautas

El pasado mes de septiembre, los usuarios de los servicios de mensajes de Google hicieron saltar las alarmas del gigante de internet, al detectar que algunos mensajes enviados a través de los servicios de Hangouts y Gtalk (el chat que se activa para los usuarios del correo de Gmail) llegaron a destinatarios no deseados. Lo que en numerosas ocasiones ocurre por errores humanos (enviar sin querer un mensaje o correo a otro destinatario por error) fue en este caso culpa de Google, que por unos momentos dejó en entredicho la privacidad de los internautas.

 

Aunque dicho error duró poco tiempo, dejó alguna pregunta en el aire, como qué responsabilidades podría asumir la compañía norteamericana por este mal funcionamiento de dos de sus servicios. Porque aquella mañana del pasado 26 de septiembre las redes sociales hirvieron. En pocos minutos estaban repletas de mensajes alertando de esta incidencia y algunos usuarios contaban casos concretos de situaciones embarazosas a las que se habían visto abocados por este fallo.

¿Es seguro trabajar con información sensible en la nube?

Hoy en día es muy habitual que particulares y empresas usen de forma cotidiana las diferentes “nubes” que existen tanto para asuntos profesionales como para temas que tienen más que ver con el ocio. Nos vamos a centrar en el primer uso, el que tiene que ver con el trabajo, y vamos a intentar explicar los riesgos que tiene la nube para las empresas que se deciden por este tipo de plataformas para almacenar y compartir archivos online. En primer lugar, es desaconsejable utilizar la nube para alojar información especialmente sensible, entre la que se encuentran los documentos únicos, planes de negocio, datos del área de recursos humanos o documentos con restricciones legales relacionadas con la propiedad intelectual.

Asimismo, no está de más hacer una labor de investigación para saber exactamente dónde se van a almacenar los datos, quién puede tener acceso a los mismos y si se pueden trasladar. Con el fin de reforzar la seguridad de los datos, es preciso estudiar bien las condiciones de cada empresa de alojamiento en cuestión para estar seguro de que garantiza la integridad de los datos y actúa de acuerdo a la legislación nacional sobre protección de datos.

Los bancos se amparan en la LOPD para no facilitar información sobre cuentas

¿Se puede negar un banco a facilitar datos bancarios a un juzgado alegando que, de hacerlo, vulneraría la Ley de Protección de Datos de Carácter Personal (LOPD)? Pues eso fue lo que alegó Novagalicia Banco (NGC) en un juicio celebrado el pasado mes de septiembre en un juzgado de A Coruña. La Asociación Galega de Afectados Productos Financieros (Agaprofi) solicitó a esta entidad bancaria que facilitara un listado de antiguos titulares de preferentes de Caixa Galicia y Caixanova que tuvieran la cualidad de minoristas.

Sin embargo, NGC se opuso a entregar dicha información alegando que ello vulneraríala Ley de Protección de Datos de Carácter Personal y que la asociación no contaba con una "legitimación activa". Este caso vuelve a poner de manifiesto las reticencias que tienen los bancos a acceder a las peticiones de información de cuentas de determinados clientes efectuadas por juzgados y tribunales. Todo ello deviene del denominado secreto bancario, un acuerdo tácito que firman entidad y cliente en virtud del cual el segundo puede exigir sigilo al primero, que a su vez se compromete a guardarlo salvo en un número determinado de casos.

Una de estas excepciones es la petición de información de un juez a una entidad bancaria para la investigación de un delito presuntamente cometido por el titular de una cuenta. Y es que los movimientos bancarios de un titular de una o varias cuentas puede proporcionar información clave para una investigación.

Datos bancarios pasan a dominio público en caso de proceso judicial

Sin embargo, no hay que olvidar que los datos bancarios y todos los relativos a ingresos, rentas, retenciones, bienes patrimoniales o créditos, entre otros, son considerados por la LOPD datos de carácter personal, por lo que todas las entidades bancarias deben ajustar su tratamiento a los requerimientos de esta norma.

En la memoria de todos está el caso del ex tesorero del PP Luis Bárcenas, cuyos datos de cuentas en Suiza fueron solicitados por la Audiencia Nacional mediante una comisión rogatoria (auxilio judicial) al país helvético. Esta información, al entrar a formar parte de un proceso judicial de enorme relevancia, pasó a ser de dominio público. Y fue en ese momento, con la publicación del sumario en los medios, cuando se pudo producir la colisión con la Ley de Protección de Datos de Carácter Personal e incluso una injerencia en el derecho a la intimidad del investigado. Aunque al tratarse de filtraciones, es muy difícil saber el origen de la difusión de esta información y, por tanto, la responsabilidad queda diluida.

Según señalaba el Tribunal Constitucional en una sentencia, los datos bancarios de un titular son su “biografía personal en números”. De ahí que la información bancaria sea algo íntimo entre banco y cliente y su petición se condicione al sometimiento de un procedimiento específico. En varias sentencias, el Constitucional ha extendido el derecho a la intimidad a la información económica, pero ello no significa que los tribunales se queden de brazos cruzados ante la negativa de los bancos a entregar determinada información.

Un ejemplo de este tipo lo protagonizó el juez del caso Palma Arena, José Castro, que llegó a amenazar al presidente de La Caixa, Isidro Fainé, con imputarle por delito de desobediencia grave a la autoridad si no facilitaba al juzgado los datos bancarios de Iñaki Urdangarin y otros implicados en el caso Nóos.

Por otra parte, la difusión de datos bancarios de particulares por parte de empresas es motivo más que suficiente para que la Agencia de Protección deDatos (AEPD) sancione al infractor con multas de hasta 60.000 euros. Eso fue lo que le sucedió a una cadena de gimnasios de Vigo y Ourense, que difundió datos personales de sus clientes en internet, entre los que se incluían números de cuentas bancarias.

Inicialmente, la Agencia impuso dos multas de 60.101,21 euros a la empresa, pero más tarde comprobó que no constaba intencionalidad ni reincidencia en la conducta. Asimismo, tras comprobar la rapidez para corregir la infracción cometida (72 horas) y las medidas adoptadas para evitar que se volviera a producir, rebajó la multa a 6.000 euros.

Precauciones a la hora de alojar datos personales en “nubes”

Servicios de alojamiento de archivos como Dropbox o Google Drive han proliferado en los últimos tiempos, así como los usuarios que utilizan este tipo de plataformas. A menudo se utilizan las denominadas “nubes” para almacenar todo tipo dedocumentos con el fin de que estén siempre a mano, ya que basta con disponer de una conexión a Internet para acceder a ellos. Sin embargo, hay que tener cuidado con el tipo de documentos que alojamos en estos servicios, ya que no garantizan la seguridad de los mismos. Y si la información alojada incluye datos personales, el usuario, ya sea un particular o una empresa, se puede meter en un buen lío si no actúa conforme a la ley.

Hace un año, Dropbox hizo públicos unos nuevos términos y condiciones de uso para empresas u organizaciones que utilicen como tales este servicio. En dicho texto, esta compañía señala que no se hace responsable en caso de eliminación o error en el almacenamiento de información proporcionada por un usuario final o el cliente. Otro de los puntos indica que, en caso de controversia, serán de aplicación las leyes de California, mientras que la jurisdicción competente será la de San Francisco.

El problema que se puede dar es que si una PYME española, por ejemplo, utiliza Dropbox para almacenar datos personales, debe atenerse a la Ley de Protección de Datos (LOPD) de nuestro país, por mucho que el servicio de alojamiento esté radicado en Estados Unidos y sean de aplicación leyes extranjeras en caso de controversia.

Según la normativa europea, si una empresa utiliza estos espacios virtuales para el almacenamiento de datos de clientes, proveedores, etc, las encargadas del tratamiento de estos datos deben ser las empresas que ofrezcan estos servicios de nube. Según el artículo 12 de la LOPD, que está refrendado por la Directiva Europea sobre esta materia (art. 17), “la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato” en el que se establezca “expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”.

Los documentos deberán ser destruidos cuando finalice el contrato

Una vez finalice la prestación contractual, continúa el precepto, los datos de carácter personal “deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”. Sin embargo, estas empresas no suelen contemplar estas previsiones de la legislación española y europea en la materia, ya que, como hemos visto más arriba, no se hacen responsables de ninguna pérdida de información o fallos al almacenar informaciones de una cuenta de servicios de un cliente o usuario final.

Dropbox está adherida al acuerdo Safe Harbor (puerto seguro) entre EEUU y la UE, pero ello no significa que garantice un nivel de protección equivalente al que exige la normativa europea respecto a los datos personales de terceros almacenados en esta nube. Y las reclamaciones que una empresa pueda realizar a este servicio de hosting se antojan muy complicadas, debido a la maraña legislativa en la que está inmersa: sujeta a las leyes de California, pero adherida al acuerdo EEUU-UE por la seguridad de los datos personales.

Por otro lado, no es precisa la autorización del Director de la Agencia Española de Protección de Datos (AEPD) para almacenar datos personales en Dropbox –que está considerado una transferencia internacional de datos-, ya que esta compañía está sujeta a Safe Harbor y ésta es una de las excepciones que marca la propia Agencia en la obligatoriedad de pedir autorización para transferir datos a países con un nivel de seguridad menor que el nuestro.

En cualquier caso, es recomendable haber realizado previamente una copia de seguridad de cualquier fichero con datos personales que se vaya a alojar en una nube. Asimismo, se debe poner en conocimiento de los usuarios que sus datos van a salir de la UE

Cuestiones legales sobre la videovigilancia en las empresas

Más de un empresario se ha planteado colocar cámaras para vigilar a sus empleados. Y no son pocas las empresas que ya utilizan este sistema para controlar el correcto desempeño de sus funciones por parte de los trabajadores. Pero, ¿es legal? La videovigilancia para el control de los trabajadores es perfectamente legal y puede realizarse sin el consentimiento previo de estos, aunque tales prácticas se encuentran plenamente sometidas a la Ley de Protección de Datos (LOPD), la Instrucción 1/2006 de la Agencia Española de Protección de Datos(AEPD) sobre el uso de sistemas de videovigilancia y al Estatuto de los Trabajadores.

La LOPD, en su artículo 6.1, establece que, en lo relativo a la legitimación para la toma de imágenes en el lugar de trabajo,  se requerirá “el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. No obstante, dicho consentimiento podrá quedar excluido, de acuerdo con lo dispuesto por el artículo 6.2 de esta norma, cuando el tratamiento sea necesario para el adecuado desenvolvimiento de la relación laboral de los trabajadores con la empresa.

Medidas de seguridad a adoptar sobre los datos médicos

Los datos médicos de las personas están especialmente protegidos por la Ley de Protección de Datos de Carácter Personal (LOPD), que establece las mayores sanciones (de hasta 600.000 euros) en caso de incumplimiento. El artículo 8 de esta norma establece y regula los datos relativos a la salud, señalando que las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos.

Fuera de estos casos, es preciso el consentimiento expreso de los titulares de los datos o la existencia de una Ley que permita el tratamiento de dichos datos, tal y como establece el artículo 11 de la LOPD. Este precepto autoriza la cesión de datos de carácter personal relativos a la salud cuando “sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica”.

Por tanto, todo acceso indebido a datos médicos puede ser sancionado y además con dureza. Recientemente, el servicio de inspección de Instituciones Penitenciarias emprendió una investigación con el objetivo de esclarecer si personal de laboratorios farmacéuticos privados habían tenido acceso al historial clínico de presos enfermos de hepatitis, lo que como hemos visto prohíbe expresamente la Ley de Protección de Datos.

La AEPD sanciona la publicación de las retribuciones de los trabajadores

Los datos de los salarios de los trabajadores es algo que solo deben conocer tanto la empresa como el trabajador. Si esta información traspasa este ámbito, los afectados pueden reclamar a la Agencia Española de Protección de Datos (AEPD) que actúe. Y es que dar publicidad a las retribuciones de los empleados está considerado como una sanción grave por la Ley de Protección de Datos de Carácter Personal (LOPD).

Un caso de este tipo se dio en 2011, año en que la AEPD multó con 3.000 € a la Federación Española de Trabajadores de la Enseñanza de UGT (FETE UGT) por dar publicidad de las retribuciones de los empleados. La Agencia consideró la publicidad de las retribuciones de los empleados como una sanción grave según lo establecido en el artículo 6.1 de la LOPD.

La resolución de la Agencia, en su relato de hechos probados, explica que FETE UGT envió a sus afiliados en marzo de 2010 un correo con un documento adjunto, en el que se detallaban las gratificaciones acordadas por la Universidad Complutense de Madrid en el marco del programa Gratificaciones del Aula a Distancia y Abierta de la Comunidad de Madrid.

Dicho correo motivó que seis personas denunciaran la publicidad de sus retribuciones ante la AEPD. El documento en sí criticaba que las gratificaciones conllevaran la no renovación de contratos de personal y la reducción de plantilla. Se informaba de la cuantía general y se desglosaba persona a persona en seis casos, que fueron las denuncias registradas en la Agencia.

En un primer momento, la Agencia abrió expediente sancionador. En su escrito de alegaciones FETE UGT se defendió señalando que esta información formaba parte de su actividad sindical y que iba dirigida exclusivamente a sus afiliados. Además, alegaba que todo trabajador de la Universidad Complutense tenía acceso a estos datos sobre los salarios, ya que las gratificaciones forman parte de acuerdos del consejo de gobierno de la UCM, de naturaleza públicos. Y concluía su escrito indicando que las gratificaciones publicadas debían de tratarse como de funcionarios públicos, pese a que eran empleados.

El director de la AEPD, en su resolución, señalaba que nunca hubo consentimiento de los denunciantes antes de que se hicieran públicas sus retribuciones. La Agencia estimó que dar publicidad a sus salarios vulneraba la Ley de Protección de Datos de manera grave, por lo que impuso a esta federación de UGT una sanción de 3.000 €.

En este sentido, el artículo 6 de la LOPD establece que el tratamiento de los datos de carácter personal requerirá el “consentimiento inequívoco del afectado”. Ninguna de las excepciones de la norma era de aplicación en este caso, ya que la Ley señala que no será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias.

Las pymes y los sistemas informáticos: medidas de seguridad

Las empresas dependen para su funcionamiento diario de la informática. Desde la contabilidad o las nóminas, hasta los pagos a proveedores o ingresos son gestionados por medios informáticos. Internet se ha convertido en el aliado de las pequeñas y medianas empresas, ya que les ha hecho la vida más fácil en sus gestiones con bancos, aseguradoras, o en el pago de impuestos estatales, autónomos o municipales.

Aunque muchas de estas tareas funciones son delegadas habitualmente muchas veces en gestorías especializadas en este tipo de asuntos, cada vez son más las empresas que asumen estas funciones. Por eso, es necesario que las pymes establezcan una serie de necesarias medidas de seguridad, para evitar contratiempos propios del uso de medios informáticos e internet.

Recursos humanos y seguridad informática

El Instituto Nacional deTecnologías de la Comunicación (Inteco), en sus recomendaciones de seguridad para las pymes, señala que la organización es clave. Así, el responsable de seguridad de la empresa debe ser consciente de los riesgos a los que está sometido, adoptar una política de seguridad y hacer partícipes al resto de empleados en la misma. Este responsable debe designar un sustituto para cuando él esté ausente, a fin de que la empresa siga funcionando sin estar expuesta a riesgos.

La seguridad física la lleva a cabo la persona que tiene acceso físico a los equipos, que debe tener en cuenta los riesgos asociados a accesos no autorizados a servidores, equipos, interrupciones del suministro eléctrico, etc. Por otra parte, es obligatorio que la empresa haga periódicamente copias de seguridad, que se deben guardar en un equipo distinto al del equipo del que se ha hecho el duplicado siempre que se traten datos especialmente protegidos.

Por otro lado, los usuarios de los sistemas informáticos en la empresa deben contar con un nombre de usuario y una contraseña segura (se recomienda un mínimo 8 caracteres alfanuméricos) para poder acceder a los sistemas. La contraseña debe ser renovada con periodicidad, algo que es obligatorio cuando el usuario tiene acceso a datos personales. De esta forma, cada empleado se hace responsable de todas las acciones que se realicen con su identificador.

Seguridad de los datos en entornos online

Los virus, gusanos, troyanos o software espía, lo que genéricamente se denomina como software malicioso, son otras amenazas para los equipos de la empresa, ya que pueden entrar en ellos sin permiso y sin que el responsable de seguridad se percate. Por ello, es necesario que todos los sistemas estén equipados con antivirus y cortafuegos.

Uno de los fraudes online más conocidos es el phishing, consistente en que el atacante envía un mensaje de correo electrónico, fingiendo ser su banco, con el propósito de obtener las claves. La empresa debe tener claro que el banco nunca se pondrá en contacto con sus clientes para verificar sus datos, por lo que se debe desechar cualquier mensaje inesperado que, en apariencia, provenga del propio banco.

Las empresas que opten por el comercio electrónico, con las numerosas ventajas que lleva consigo, como el ahorro drástico de costes, deben tomar una serie de medidas para proteger tanto a la propia compañía como al cliente. En este sentido, es preferible pedir el mínimo de datos al cliente para llevar a cabo la transacción; si hay datos confidenciales se deben tratar con el máximo de seguridad y es recomendable implantar pasarelas de pago de los bancos para efectuar las transacciones.

Además, a la hora de desechar estos soportes, que pueden contener datos confidenciales, se deben tomar medidas de seguridad, para evitar la copia por terceros, tal y como debe hacerse en caso que se transporten estos discos duros. Si contienen datos personales, a la hora de hacer una copia de seguridad el procedimiento está regulado por la Ley de Protección de Datos y el reglamento de medidas de seguridad de ficheros de datos personales.

Cómo prevenir el SPAM

La palabra Spam proviene de abreviar “spiced ham” (jamón con especias), una comida americana típica, habitualmente enlatada, y el principal alimento de los soldados en la Segunda Guerra Mundial, gracias a los envíos masivos que realizaban sus familiares. Con la llegada de internet y, especialmente, del correo electrónico, se dio un nuevo significado a esta palabra para denominar al “correo basura” o a todo tipo de comunicación no solicitada realizada por vía electrónica.

Los mensajes de spam tienen un fin publicitario, ya que lo que buscan es ofertar, comercializar o tratar de despertar el interés por un producto, servicio o empresa. El bajo coste de este tipo de prácticas, la rapidez de la red para la difusión y el posible anonimato del emisor han provocado que se realicen de forma abusiva y masiva. Sin embargo, la legislación española, en concreto la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE), prohíbe este tipo de mensajes sin consentimiento previo.

En concreto, el artículo 21.1 de esta Ley prohíbe de forma expresa el envío de comunicaciones publicitarias o promocionales por cualquier medio de comunicación electrónica si no ha sido solicitado previamente. Pero, además de suponer una infracción a la LSSI-CE, el spam puede significar una vulneración del derecho a la intimidad y un incumplimiento de la legislación sobre protección de datos, ya que la dirección de correo electrónico, puede ser considerada como dato de carácter personal.

La mitad de los correos que recibimos es spam

Actualmente, se estima que el 50% de los correos electrónicos que se reciben son correos spam. El 22% del correo basura contiene información falsa en el “asunto” del mensaje, y en el 40% de los casos analizados por varios estudios, el cuerpo del mensaje contiene indicios falsos. Es una frase imprecisa no basada en ningún dato concreto. Mejor eliminarla porque suena a opinión, no a un hecho contrastado En muchos casos, este tipo de mensajes son un foco de entrada de virus en los ordenadores que los reciben. Además de estos inconvenientes, la llegada masiva de spam puede saturar las bandejas de entrada de los correos electrónicos, lo que provoca que las conexiones a internet vayan más lentas.

Existen muchos tipos de spam: los pop-ups o ventanas emergentes cada vez que nos conectamos a internet; el hoax o correo electrónico con contenido engañoso distribuido en cadena; las llamadas comerciales en las que no interviene una persona; los mensajes en cadena que buscan coaccionar al receptor de que los reenvíe a sus contactos, cuando lo único que persiguen son direcciones de correo electrónico; ofertas de trabajo desde casa cuya única finalidad es promocionar algún producto…, etc.

Evitar el spam

Para evitar el spam se pueden poner en práctica varias medidas preventivas. Para empezar, hay que ser especialmente cuidadoso a la hora de facilitar la dirección de correo electrónico. Solo se debe dar la dirección a aquellas personas y organizaciones en las que se confía. También es conveniente abrirse dos (o más) cuentas de e-mail, una para uso general y trabajo, y otra para proporcionarla a quien no se conozca lo suficiente.

Al crear cuentas de correo electrónico hay que evitar ponérselo fácil a los spammer con direcciones fácilmente deducibles, como el nombre y apellido, las iniciales, inicial del nombre y apellido completo, etc. Asimismo, es aconsejable no publicar la dirección de correo en foros, webs o chats, y a la hora de suscribirse a un servicio online es conveniente leer la política de privacidad de la empresa antes: en muchos casos las compañías advierten en estos documentos de que ceden sus datos a otras empresas o filiales.

Para reducir el spam, se pueden instalar filtros en los correos electrónicos, aunque la principal desventaja de estos sistemas es que muchas veces confunden correos legítimos con mensajes basura. Es preferible mantener el sistema al día con todas las actualizaciones para evitar la entrada masiva de correo basura. Otra opción es instalar un cortafuegos que te avise de cada entrada extraña en el ordenador.

Google choca con la Ley de Protección de Datos de España

La Agencia Española de Protección de Datos (AEPD) ha puesto la lupa sobre Google y su nueva política de privacidad, implantada en marzo de 2012. Recientemente, ha abierto un procedimiento sancionador al famoso buscador por, entre otras cuestiones, no informar claramente sobre el uso que hace de los datos personales que recaba de los usuarios y por conservarlos por tiempo indeterminado. España no está sola en esta acción y ha iniciado este procedimiento de manera coordinada con las autoridades en protección de datos de Alemania, Francia, Holanda, Italia y Reino Unido.

No es la primera vez que la multinacional estadounidense es investigada por una posible infracción de la legislación de un país en materia de protección de datos. Y es que Google se enfrenta a diario a demandas de particulares que piden que determinadas informaciones dejen de aparecer en su buscador: desde víctimas de violencia de género que no desean dejar información en la red que pueda ser vista por su ex pareja, hasta resoluciones sobre deudas con Hacienda o la Seguridad Social que ya fueron saldadas hace muchos años.

Unión de los países de la UE para denunciar a Google

En marzo del año pasado, Google dio un giro a su política de privacidad y modificó las condiciones de uso de la mayoría de sus servicios. Tras apreciar el pasado mes de octubre que esta nueva política no cumplía con lo dispuesto en la normativa comunitaria, las autoridades europeas de protección de datos de los 27 Estados de la UE instaron al gigante de internet a cumplir la legislación europea y le dieron un plazo para ello. Como Google no ofreció una “respuesta satisfactoria”, según la AEPD, las autoridades europeas acordaron que las autoridades nacionales adoptaran medidas de acuerdo con sus respectivas legislaciones.

La AEPD inició la fase de actuaciones previas de investigación el pasado mes de abril y constató la existencia de indicios de la comisión de seis infracciones, cinco de ellas graves, castigadas con multas de entre 40.001 y 300.000 euros, y una leve, que puede conllevar un multa de entre 900 y 40.001 euros. La Agencia española ha abierto un procedimiento para esclarecer si la combinación de datos procedentes de diversos servicios cumple las garantías de información a los usuarios, si las finalidades y la proporcionalidad para las que se utiliza la información legitima el tratamiento de los datos y si los periodos de conservación y las opciones para que los usuarios ejerzan sus derechos de acceso, rectificación, cancelación y oposición cumplen con la LOPD.

En concreto, la AEPD ha constatado que Google no informa claramente sobre el uso que va a hacer de los datos que recoge de los usuarios, que desconocen qué fin justifica la obtención de sus datos. Asimismo, señala que es posible que la compañía estadounidense pueda combinar la información personal de un servicio con la de otros y utilizarla para otras finalidades. Esta ausencia de información, indica la Agencia, podría implicar que el tratamiento de datos que realiza fuera ilegítimo.

Google podrá utilizar datos personales de manera ilimitada

El procedimiento sancionador también habla de un “tratamiento desproporcionado” de los datos de sus usuarios por parte de Google, ya que advierte en su política de privacidad de que podrá utilizar los datos personales de forma ilimitada en todos sus servicios, tanto en los actuales, como en los que pueda abrir en un futuro. Otro aspecto que ha motivado la apertura del procedimiento sancionador es que Google podría conservar los datos de sus usuarios por tiempo indeterminado o injustificado, lo que va en contra de la Ley de Protección de Datos, que establece que los datos personales han de ser cancelados una vez que hayan dejado de ser necesarios o pertinentes para la finalidad que fueron recabados.

Finalmente, la AEPD ha observado que las herramientas que ofrece el buscador y todos sus servicios asociados para ejercer los derechos ARCO (acceso, rectificación, cancelación y oposición) “se encuentran dispersas”, no están “disponibles para todos los usuarios”, son “incompletas” y “aparecen con denominaciones que no siempre se corresponden con la materia que se trata”. 

La empresa debe velar por la seguridad de sus ficheros de datos personales

El tratamiento de ficheros automatizados de datos de carácter personal requiere unas medidas de seguridad que toda empresa debe cumplir. El Reglamento de Desarrollo de la Ley de Protección de Datos recoge todas las medidas, que en el caso de las empresas tienen tres niveles: básico, medio y alto.

Las medidas de nivel básico, que han de cumplirse obligatoriamente, son el registro de incidencias; el procedimiento de copias de seguridad y recuperación; la identificación y autenticación; el control de acceso; la gestión de soportes; el acceso a datos a través de redes de comunicaciones; el régimen de trabajo fuera de los locales de la ubicación del fichero y los ficheros temporales.

Además de este primer grupo de medidas básicas, deben implantarse unas medidas de nivel medio en los ficheros relativos a la comisión de infracciones administrativas o penales, así como en aquellos que se refieran a solvencia patrimonial o pago o impago de créditos. También tendrán medidas de seguridad de nivel medio aquellos ficheros de los que sean responsables las Administraciones Tributarias y se relacionen con el ejercicio de sus potestades; los de entidades financieras relacionados con la prestación de sus servicios; los de entidades gestoras y servicios comunes de la Seguridad Social, así como los de las mutuas de accidentes de trabajo y enfermedades profesionales.

Finalmente, requerirán un nivel de seguridad alto -lo que implica, además, haber asumido los niveles bajo y medio- los ficheros o tratamientos de datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Deberán estar protegidos de igual manera los datos recabados para fines policiales sin consentimiento de las personas afectadas y los derivados de actos de violencia de género.

El responsable del fichero es el encargado de garantizar la seguridad de los datos y de evitar su pérdida, alteración, tratamiento o acceso no autorizado, según establece el artículo 9 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Este precepto también conmina a no registrar datos de carácter personal en ficheros que no reúnan las condiciones necesarias establecidas por la Ley en cuanto a su integridad y seguridad. La Audiencia Nacional ha establecido en varias sentencias que no basta con adoptar cualquier tipo de medida, sino que “deben ser las necesarias para garantizar aquellos objetivos que marca el precepto”.

Asimismo, este tribunal indica que, además de aprobar instrucciones detalladas sobre la recogida y destrucción de datos personales, hay que exigir a los empleados “la observancia” de las mismas. El Documento de Seguridad establecerá las medidas de seguridad sobre el tratamiento informático de datos de carácter personal, mientras que los diferentes niveles se tienen que adoptar en función del tipo de datos que contengan los ficheros.

La empresa debe tener en funcionamiento un sistema de registro de incidencias en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación de la misma y las medidas correctoras aplicadas. Si los ficheros están sujetos a medidas de nivel medio, el registro deberá constar de los procedimientos realizados para la recuperación los datos. La notificación de las incidencias y la metodología para la gestión de las mismas han de ser notificadas a todos los usuarios.

Incumplir la LOPD: reproche social y multas de hasta 600.000 euros

El incumplimiento de las obligaciones y requerimientos establecidos en la Ley de Protección de Datos (LOPD) puede conllevar la imposición de sanciones, que oscilan entre los 900 € y los 600.000 €, en función de si la infracción cometida es considerada leve, grave o muy grave. El órgano que se encarga de controlar el cumplimiento de las obligaciones que impone la LOPD es la Agencia Española de Protección de Datos (AEPD), que actúa con independencia de las administraciones públicas -aunque rinde cuentas ante el Ministerio de Justicia- y es quien ejerce la potestad sancionadora.

Además de la imposición de sanciones, la empresa que incumple con lo dispuesto en materia de protección de datos está expuesta a un evidente menoscabo de su reputación. Vulneración de los derechos de los clientes, empleados y proveedores, así como su pérdida de legitimidad ante la sociedad, son las dos consecuencias directas e inmediatas que sufre toda empresa que se salte la LOPD. Vendrían a ser como las “condenas” oficiosas que tendrá que cumplir toda empresa que no respete los derechos de los usuarios en materia de protección de datos. Sin embargo, para que el reproche sea efectivo, la Ley prevé una serie sanciones con sus correspondientes multas, que serán aplicables en una serie de supuestos.

Tipos de infracciones y sanciones contempladas por la LOPD

En primer lugar, son infracciones muy graves la recogida de datos de forma engañosa o fraudulenta. También entra en esta categoría la cesión o uso de datos de carácter personal especialmente protegidos, como aquellos que revelen la ideología, religión o afiliación sindical, así como aquellos que hagan referencia al origen racial, salud y vida sexual. Lo mismo sucede con datos relativos a la comisión de infracciones penales o administrativas, que únicamente pueden ser incluidos en ficheros de las administraciones públicas competentes. Su cesión o mal uso puede ser considerada como infracción muy grave.

Otro de los supuestos que entran dentro de las infracciones muy graves es no cesar en el tratamiento ilícito de datos de carácter personal cuando exista un requerimiento previo del director de la AEPD. Igualmente, la transferencia internacional de datos personales con destino a países que no proporcionen un nivel de protección equiparable al de España y sin la autorización del director de la AEPD será considerada también una infracción muy grave. Este tipo de infracción está sancionada con multas que van desde los 300.001 € a los 600.000 €.

En el caso de las infracciones graves, se amplían los supuestos. En esta categoría figura el impedimento o la obstaculización del ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición), así como el incumplimiento del deber de información al afectado. Proceder a la creación de ficheros sin autorización publicada en el Boletín Oficial del Estado; tratar datos de carácter personal sin el consentimiento de los afectados y conculcando las garantías que establece la LOPD; incumplir el deber de notificación o requerimiento al afectado; mantener los ficheros sin las medidas de seguridad exigibles y no atender a los requerimientos de la AEPD, son otros de los supuestos considerados como infracción grave. En este caso, las multas van de los 40.001 € a los 300.000 €.

Finalmente, son infracciones leves la no remisión a la Agencia de Protección de Datos de las notificaciones previstas en la Ley, así como no solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos. Asimismo, el incumplimiento del deber de información al afectado y la transmisión de datos sin arreglo a lo establecido en la LOPD también se considerará infracción leve, cuya multa estará entre los 900 € y los 40.000 €.

Los riesgos del comercio electrónico en materia de protección de datos

Hay pocas cosas más sencillas para un comerciante que vender sus productos por internet, del mismo modo que, para un consumidor, no existe nada más cómodo (y en ocasiones barato) que comprar a través de la red. El comercio electrónico tiene innumerables ventajas para clientes y empresas, pero también conlleva una serie de riesgos asociados, propios de la venta a distancia en la que no existe contacto físico entre vendedor y comprador. En muchos casos, para comprar cualquier artículo online se han de rellenar numerosos formularios. Si la operación de compra se realiza en entornos poco seguros, se abre y multiplica la posibilidad al riesgo de que terceros realicen un uso ilícito de los datos de carácter personal aportados.

Si en la web de una empresa, profesional o entidad se recaban datos de carácter personal de los usuarios mediante un formulario, conforme a lo dispuesto en el artículo 5 de la LOPD, el Responsable del Fichero debe informar a los interesados: de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de datos y de los destinatarios de la información, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición y de la identidad y dirección del responsable del tratamiento, entre otras. Esta información debe ponerse a disposición del usuario en la denominada “Política de Privacidad” que deberá ubicarse en el mismo formulario.

Registro de los ficheros en la AEPD

La creación de ficheros de datos personales ha de notificarse previamente a la Agencia Española de Protección de Datos para, posteriormente, regularizar dicha notificación con la identificación del responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos personales que contiene, las medidas de seguridad exigibles y las cesiones de datos personales que se prevean realizar. Todo cambio que se produzca en el fichero debe ser comunicado a la AEPD, que dará de alta el fichero, siempre y cuando se ajuste a los requisitos exigibles.

Los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son los que amparan al titular de los datos, al que no se puede exigir contraprestación alguna por el ejercicio de los mismos.

Una inspección sectorial realizada en el año 2000 por la Agencia Española de Protección de Datos, que tenía como objetivo determinar si las entidades que desarrollaban su actividad comercial a través de internet cumplían con la legislación en materia de protección de datos, puso de manifiesto que en algunas de estas tiendas no se identificaba explícitamente al responsable del fichero. Ello, añadía la Agencia, provocaba indefensión al afectado en lo relativo a la protección de sus derechos. La investigación, realizada a 44 webs, subrayaba la “insuficiente información” que se facilitaba al usuario en el momento de recabar sus datos personales. 13 años después se ha mejorado bastante en este aspecto, pero se siguen observando evidentes deficiencias y carencias al respecto.

La falta de información de la que hablaba la inspección se acentúa cuando el cliente no consigue distinguir claramente quién es el comerciante con el que va a realizar una transacción económica. Y es que en un proceso de compra por internet pueden llegar a intervenir numerosos actores: el que gestiona el servidor web, el propio comerciante, el que autoriza la transacción financiera, el que se encarga de emitir los documentos que otorgan la titularidad del producto (una agencia de viajes, por ejemplo), el que sirve el producto o la atención al cliente. El comprador debe saber cuál de todos ellos es el que decidirá sobre el uso y finalidad de sus datos personales, y ante quien puede ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Fraude online: Phising y Pharming.

Para aquellos que utilizan internet habitualmente para realizar compras o transacciones bancarias, la AEPD lleva años advirtiendo sobre el phising y el pharming, fraudes cada vez más conocidos pero que día a día encuentran nuevas víctimas. El primero consiste en enviar a usuarios de banca electrónica correos falsos, en los que haciéndose pasar por una entidad bancaria, solicitan datos personales como el nombre y las claves del usuario. El pharming, por su parte, se basa en duplicar exactamente la web de un banco, de forma que el usuario cree que está navegando por la auténtica e introduce en ella sus claves de acceso a las cuentas.

Por último, destacamos dos útiles recomendaciones de la AEPD para hacer un uso más seguro de la comercialización electrónica: utilizar servicios que operen mediante conexiones seguras ( tipo https), y utilizar tarjetas de crédito para uso específico en internet.