19 de febrero de 2008

La Asociación de Internautas pide la inconstitucionalidad de la Ley de Medidas de Impulso de la Sociedad de la Información

La Asociación de Internautas presenta ante el Defensor del Pueblo la solicitud de declaración de inconstitucionalidad de la Ley de Medidas de Impulso de la Sociedad de la Información, LISI, que reforma determinados aspectos de actual legislación sobre comercio electrónico. Específicamente se solicita que sean llevados ante el Tribunal Constitucional los artículos que dejan abierta la posibilidad de que sean censurados contenidos en Internet, en el ámbito del comercio electrónico, sin la preceptiva intervención judicial (...)
Enlace


Es importante recordar que la LISI, como la LSSI, no limitan su campo de acción al ámbito de las personas físicas como la LOPD, y afectan por lo tanto a cientos de miles de casos de empresas con presencia en Internet, incluso cuando éstas (como ocurre en muchas ocasiones) sólo dan servicio a otras empresas, es decir, todos sus clientes son personas jurídicas.

12 de febrero de 2008

Día Internacional de la Internet Segura

Como ya hiciera el año pasado, la AEPD vuelve a advertir sobre los riesgos de que los menores faciliten datos sin control en Internet.
Con motivo del Día Internacional de la Internet Segura se ha publicado una Nota Informativa, en la que (acertadamente) se reclama que los padres adopten una posición activa sobre el uso de la nuevas tecnologías que hacen sus hijos y recuerda que la Ley Orgánica de Protección de Datos prohíbe recabar datos de los menores de 14 años sin el consentimiento de los padres o tutores.

9 de febrero de 2008

Sanciones a Pymes

Ya he hablado alguna vez de este interesante blog sobre Pymes y Autónomos, pero en este caso escribo para enmendarles en parte la plana. Resulta que publican una nota titulada La Agencia de Protección de Datos también sanciona a Pymes, donde entre otras se dicen cosas como:

Hasta el momento siempre habíamos oído las investigaciones, requerimientos o sanciones impuestas por la Agencia de Protección de Datos a grandes empresas de carácter multinacional como Telefónica o Google, y por lo tanto alejado de la pequeña y mediana empresa, (...)

a lo cual yo he comentado:

Efectivamente este es el problema: el enorme desconocimiento existente sobre la LOPD, cuando resulta que es uno de los asuntos más publicitados de la historia de las obligaciones legales de una empresa.

Cuando un empresario me pregunta ¿dónde me han avisado que tengo que cumplir esta ley?, le contesto:
1.- En el mismo sitio que las demás leyes: en el BOE, o ¿es que te ha venido alguien de Hacienda a decir que tienes que pagar el IVA o alguien de Trabajo a contarte lo de las nóminas y la seguridad social, etc?
2.- Además donde nunca te han contado tanto: en internet. No hay más que acceder a la web de la Agencia de Protección de Datos para tener al alcance toda la información:
www.agpd.es
con una sección especial dedicada a las sanciones, donde están publicadas todas las habidas hasta este momento:
https://www.agpd.es/index.php?idSeccion=412
En este blog puedes ver una selección de resoluciones con el punto en común de haber recaido en pequeñas empresas:
http://leyprotecciondatos.blogspot.com/

Ahí se puede ver que la resolución que cita Óscar no es excepcional, son muchos los casos de autónomos, S.L., C.B., etc., que han recibido sanciones entre 600€ y 60.000€.
Este hecho se produce porque en la graduación de la sanción el tamaño de la empresa es un factor irrelevante. Lo que importa es cuál es el artículo de la ley vulnerado y qué nivel de seguridad se exige a la entidad en función del tipo de datos que almacenan.
Así por ejemplo hay grandes empresas a las que se exige un nivel bajo de protección (ejemplo ACS, que construye pero sus clientes son inmobiliarias no compradores finales) y al tiempo hay autónomos a media jornada (ejemplo un médico que es funcionario de la seguridad social en un ambulatorio hasta las 15:00 y por la tarde pasa consulta privada) a los que exige nivel de protección alto debido a que manejan datos de salud.
Espero haber ayudado a aclarar un poco el tema.


8 de febrero de 2008

¿Cuándo dice usted que entra en vigor?

Muchos recordaréis el penoso tratamiento periodísitico que se dio a la comparecencia en Santa Cruz de Tenerife de Artemi Rallo, limitándose todos los medios a reproducir una nota de prensa llena de errores, cuando no de intencionadas tergiversaciones. Claro que ya nos avisó el amigo Murphy que "todo lo que va mal siempre puede empeorar", así que atentos a esta perla:

Bilbao, 6 feb (EFE).- Más de 250 empresarios participaron hoy en Bilbao en una jornada en la que se analizó la futura Ley de Protección de Datos, una norma que contempla sanciones de hasta 600.000 euros en el caso de las infracciones muy graves, según informaron en una nota los organizadores del congreso.
Esta ley, que entrará en vigor a mediados de abril, regula el tratamiento que se debe hacer de todos los ficheros, incluidos los que no están automatizados o informatizados, como los ficheros de papel.
(La negrita es mía)


Y eso que es de la agencia EFE.

Enlace completo

(Gracias Mª Ángeles)


6 de febrero de 2008

Acelerando el ritmo

El Procedimiento Nº PS/00325/2007 tampoco tiene mucho de particular respecto al asunto que sanciona: es otro más de los muchos casos de vulneración de la LSSI por el envío de comunicaciones comerciales no solicitadas mediante correo electrónico. Lo significativo es observar el poco tiempo transcurrido entre la denuncia (27/3/07) hasta la firma de la sanción (17/12/07), poco más de ocho meses. Se ve que la Agencia se va adaptando a una de las nuevas disposiciones del Reglamento en la que se le impone un plazo máximo de un año en la resolución de un procedimiento.

4 de febrero de 2008

Actuación de oficio

El procedimiento sancionador PS/00094/2007 no es que tenga mucho de particular, es un caso más de sanción (3.000 €) motivada por la aparición de curriculums (en este caso fichas de modelos) tiradas por la calle. Lo que la hace especial es que la denuncia no nace como ha sido habitual en estos casos de un particular o de un atestado de la Policía Local o Guardia Civil, sino que es la propia Agencia la que inicia el procedimiento tras leer un artículo en un medio de comunicación. Ya había avisado su presidente de que cuando hubiera pruebas iban a sancionar más que advertir.

3 de febrero de 2008

¿Dónde dice usted que tengo que firmar?

Artículo actualizado en Ayuda Ley Protección Datos: Recogida de firma en una tableta electrónica

De nuevo una sanción al Corte Inglés (¿quién le cobra la consultoría a estos muchachos?), pero que resulta interesante porque corresponde a la adopción de un avance tecnológico que como todos comienza por la gran empresa y con el tiempo alcanza a todo el entramado empresarial: en este caso la firma sobre tabletas electrónicas.
En el procedimiento sancionador PS/00063/2007, instruido por la Agencia Española de Protección de Datos a la entidad EL CORTE INGLES S.A.,
(...)
denuncia que con fecha 27/03/2005 realizó una compra en un establecimiento comercial de la marca Opencor y que al abonar la compra mediante tarjeta bancaria de pago tuvo que firmar sobre una tableta electrónica que permite capturar y almacenar la firma. Señala que no prestó su consentimiento para el tratamiento informático de su firma y que solicitó una hoja de reclamaciones para presentar también una reclamación en el Departamento de Consumo.

En su defensa los abogados del Corte Inglés intentan crear un embrollo jurídico entre responsables y encargados del tratamiento, argumentan que ha prescrito y hasta que la abuela fuma eso que ya sabes, pero la Agencia con ese característico estilo suyo tan lacónico lo cuenta así:

HECHOS PROBADOS
PRIMERO: Con fecha 27/03/2005, D. J.P.G. realizó una compra en un establecimiento comercial de la marca Opencor, abonándola mediante tarjeta bancaria de pago (folio 3). Para ello firmó sobre una tableta electrónica que capturó y almacenó su firma (folio 21).
SEGUNDO: En el ticket de compra que firmó D. J.P.G. contenía sus apellidos, firma, número de su tarjeta y detalle de los productos adquiridos (folio 3 y 21).
TERCERO: Tales datos se almacenaron en el fichero denominado “Clientes Otras Tarjetas Externas” sin que hayan sido cancelados (folios 20 y 21),
CUARTO: El fichero “Clientes Otras Tarjetas Externas” se encuentra inscrito en el Registro General de Protección de Datos y su responsable es el Corte Inglés, S.A. (folios 54 y 55).
QUINTO: La marca comercial Opencor pertenece a la entidad Tiendas de Conveniencia, S.A., esta entidad no tiene inscrito ningún fichero de clientes en el registro General de Protección de Datos (folios 56).
SEXTO: En el ticket de compra que firmó D. J.P.G. no contenía ninguna información relativa al tratamiento informatizado de su firma (folios 3 y 21).
SÉPTIMO: Tiendas de Conveniencia, S.A. y el Corte Inglés, S.A. firmaron, con fecha 31/12/2004, un contrato de prestación de servicios informáticos en virtud del cual Tiendas de Conveniencia, S.A. encomienda a el Corte Inglés, S.A. la prestación de los servicios informáticos que se constituye en encargado del tratamiento (folios 17 a 19).
y deja muy claro dónde está la infracción:

En este caso, el denunciante abonó una compra realizada en las tiendas Opencor mediante una tarjeta bancaria de pago, siendo almacenados los datos contenidos en el ticket de compra junto con su firma en el fichero “Clientes otras tarjetas externas”, sin haber sido informado ni prestado su consentimiento.
El denunciante debió ser informado de que se iban a recabar más datos de los estrictamente necesarios para que se realice la transacción comercial.
El titular de una tarjeta bancaria sabe, porque así fue informado por la entidad emisora de la tarjeta de débito o crédito, en el momento de la firma del contrato, que el establecimiento en el que realiza una compra con tarjeta almacenará determinados datos que serán trasmitidos a la entidad bancaria y que son necesarios para la realización de la transacción comercial. El titular de la tarjeta únicamente presta su consentimiento para que el establecimiento comercial capture los datos necesarios para la transacción comercial.
Sin embargo, en el supuesto examinado, se almacenaron en el aludido fichero datos adicionales que no son necesarios para la transacción comercial y respecto de los cuales el denunciante no había prestado su consentimiento, por lo que ha de entenderse infringido el artículo 6.1 de la LOPD.

Y por si quedaban dudas al final lo resume así:
En conclusión, el Corte Inglés recabó los datos del denunciante, relativos a una compra efectuada en las tiendas Opencor, para incluirlos en su fichero “Clientes otras tarjetas externas” sin contar con su consentimiento informado y sin que concurriera ninguna de las causas de exclusión del consentimiento recogidas en el apartado 2 del mencionado artículo 6, conducta que encuentra su tipificación en el citado artículo 44.3.d) de la LOPD.

Y lo castiga así:
IMPONER a la entidad EL CORTE INGLES, S.A. por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.


Como el Corte Inglés ha recurrido podemos terminar esta nota como en las series de televisión: Continuará…