29 de julio de 2008

Detenido un empresario gallego por 'espiar' a su competencia mediante un troyano

Siempre he dicho que una (de las muchas) razones para implantar protección de datos en una empresa, más allá del mero cumplimiento legal de la LOPD, es proteger su bien más precioso: la información, de la misma manera que nadie en su sano juicio deja la puerta de su casa sin cerradura, a pesar de que ninguna ley obliga a ello.
La Policía ha anunciado en una nota la detención del gerente de un empresa de reparaciones a domicilio, acusado de haber espiado a través de Internet a su competidor mediante el uso de un troyano, una aplicación instalada en el ordenador de la víctima sin su permiso que monitorizaba cualquier operación que se efectuara en el citado ordenador.
La aplicación enviaba periódicamente informes de su actividad a varias cuentas de correo electrónico que controlaba el detenido.
De esta forma el arrestado obtuvo distintas contraseñas de acceso a cuentas de correo, bancarias y otros servicios de Internet, gracias a la que consiguió una gran cantidad de información privilegiada sobre clientes, proveedores y otras relaciones comerciales de la empresa espiada.


Vía: elmundo.es

24 de julio de 2008

"Listas negras" en los taxis

¿Alguna vez te ha ocurrido que al pedir un taxi la operadora ya sabe tu domicilio y te has preguntado si tiene derecho a guardar ese dato de una petición anterior?, o peor aún ¿te ha ocurrido alguna vez que te hayan denegado el servicio supuestamente por no haber esperado un servicio anterior?

En el Informe Jurídico 0302/2008, la Agencia de Protección de Datos aclara este tema.

El mencionado artículo 6 señala que no será necesario el consentimiento del afectado cuando los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”.
En el presente caso, el tratamiento del dato del número telefónico del solicitante y de su dirección, en su caso, se encontrarían amparados en el mencionado precepto, dado que la solicitud del servicio da lugar al nacimiento de una relación jurídica entre el solicitante y la compañía para cuyo desarrollo sería preciso el tratamiento de ese dato.
No obstante, deberán tenerse en consideración dos circunstancias. En primer lugar, el interesado deberá ser informado acerca del tratamiento del dato; en segundo término, dicho tratamiento deberá respetar el principio de conservación, previsto en el artículo 4.5 de la Ley Orgánica 15/1999, según el cual “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados”.
(...)
La segunda de las cuestiones a las que se ha hecho referencia implicaría, con carácter general, la necesidad de que los datos sean cancelados una vez prestado el servicio o pudiera derivarse alguna consecuencia del mismo, no conservándose dichos datos en el fichero a menos que el interesado hubiera dado su consentimiento para ello.
Lo que acaba de indicarse permite enlazar con la cuestión planteada, por cuanto, como regla general, el dato deberá haber sido cancelado una vez concluido el servicio, por lo que no sería posible su conservación y aún en menor medida su inclusión en una “lista negra”.
Y una advertencia final:
No obstante, en caso de que el tratamiento no se estuviera llevando a cabo conforme a lo dispuesto en el presente informe, la consultante podrá denunciar los hechos ante esta Agencia Española de Protección de Datos, a fin de que por la misma se inicien las actuaciones de inspección y, en su caso, sancionadoras, si las mismas procedieran en derecho.
Relacionada: Videovigilancia en taxis.

17 de julio de 2008

Datos de salud en empresas y asesorías

Ya había publicado una nota anterior sobre este tema: Nivel de protección de datos en una asesoría, pero ya que la AEPD ha publicado un nuevo informe jurídico (0303/2008) esta vez más centrado en datos de salud, os resumo la pregunta y la respuesta:

La consulta plantea el sentido que debe darse a la regla especial contenida en el artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, aprobado por Real decreto 1720/2007, de 21 de diciembre. En particular, se plantea su aplicación a los ficheros que contengan los datos referidos a la existencia de incapacidad laboral, la declaración de la existencia de enfermedad común o profesional o accidente laboral como justificante de la concurrencia de una situación de baja laboral o a la condición del trabajador de apto o no apto a los efectos previstos en la legislación reguladora de la prevención de riesgos laborales.

La respuesta es bastante extensa (11 páginas), pero se resume perfectamente en el apartado VII:

En consecuencia, de lo señalado en el presente informe cabe concluir que será la aplicación la previsión contenida en el artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica y, en consecuencia, serán únicamente exigibles las medidas de seguridad de nivel básico en aquellos ficheros que contengan uno o varios de los siguientes datos:
  • La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.
  • La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
  • Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.
Por el contrario, si el fichero contuviera cualesquiera datos relacionados con los resultados de las acciones de vigilancia de la salud distintos del meramente referido a la aptitud del trabajador o incorporasen los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador no será posible entender aplicable el artículo 81.6 del Reglamento, debiendo implantarse las medidas de seguridad de nivel alto.


En el último apartado la Agencia aclara que los mismos considerandos sirven para una asesoría que actuara como encargada de tratamiento.

12 de julio de 2008

Un despido muy caro

En el procedimiento sancionador PS/00312/2007, instruido por la Agencia Española de Protección de Datos a la entidad RECORDATI ESPAÑA, S.L., se trata de la denuncia presentada por D. R.R.R. en la que asegura que Asepeyo, Mutua de Accidentes de Trabajo y Enfermedad Profesional de la Seguridad Social ha facilitado sus datos de salud a la empresa Recordati España,S.L. para la que trabajaba, y que tales datos han sido utilizados por esta empresa para fundamentar la carta de despedido.

En esta carta se decía:

“Las razones que han llevado a la empresa a tomar esta decisión son fundamentalmente el haber tenido conocimiento de su ineptitud sobrevenida para continuar prestando los servicios de G.P. 4 Producción, que requiere fundamentalmente la prestación de esfuerzo y permanecer durante toda la jornada de pie, situación incompatible con la dismetría que presenta en los miembros inferiores y le causa problemas de espalda, provocándole una inhabilidad o carencia de facultades profesionales por pérdida de sus recursos de trabajo”.


Iniciada la oportuna investigación se constata que en el informe sanitario de calificación de aptitud laboral de D. R.R.R., elaborado por el Servicio de Prevención de Asepeyo, con fecha 26/7/2005, figura el denunciante con la calificación de apto para el puesto de trabajo habitual, sin que conste ninguna información acerca del padecimiento de desviación de columna o dismetría en los miembros inferiores. Por otro lado ni en los reconocimientos médicos que se han practicado al denunciante en cumplimiento de lo dispuesto en el artículo 22 de la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales y en el artículo 37 del Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención, ni en los informes médicos elaborados, en fechas de 2/1/2002, 24/2/2003 y 11/3/2004, con motivo de los citados reconocimientos, ni en la documentación facilitó a Recordati España, S.L. consta ninguna anotación referente a que el afectado padezca dismetría en los miembros inferiores o padecimiento de dolores de espalda.

La empresa declaró que fue el propio denunciante quien voluntariamente indicó sus problemas de salud a la empresa (algo difícil de creer teniendo en cuenta que le iba a costar su puesto de trabajo), pero ya que se muestra incapaz de demostrar este extremo, y que al tratarse de un dato de salud se exige el consentimiento expreso del afectado, el Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad Recordati España, S.L., por una infracción del artículo 7.3 de la LOPD, tipificada como muy grave en el artículo 44.4.C) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

9 de julio de 2008

La basura del vecino

En el procedimiento sancionador PS/00464/2007, instruido por la Agencia Española de Protección de Datos a la entidad CHRISTOFLE ESPAÑA, S.A., y en base a los siguientes hechos probados:

PRIMERO: Con fecha de 9 de enero de 2007 dos periodistas de la cadena de televisión ANTENA 3, que acababan de realizar un reportaje informativo en la sede institucional de la Agencia Española de Protección de Datos, pusieron en conocimiento de la Inspección de Datos el hallazgo de diversa documentación en la vía pública, junto al local comercial de la firma comercial CHRISTOFLE ubicado en el (c/...........................). Parte de esta documentación fue aportada a la Inspección de Datos por los periodistas.
Tras analizar el contenido de la documentación, dos inspectores se personaron en el citado inmueble, verificando que en la vía pública, junto al citado establecimiento, existía documentación adicional que, al igual que la aportada por los periodistas, aparentemente había sido desechada por el establecimiento, dado que en la misma figuraba la marca comercial CHRISTOFLE.
Los inspectores se personaron en el establecimiento y se identificaron como tales ante la encargada del mismo, quien reconoció que durante los últimos días el establecimiento había estado destruyendo documentación no útil y que esa misma mañana las empleadas de la tienda habían abandonado en la vía pública algunos documentos que, según entendían, no contenían información personal ni confidencial (folios 1 y 2).


Pese a esta alegación los inspectores encontraron entre otros documentos varias agendas personales que correspondían al parecer a antiguas empleadas de CHRISTOFLE, y en las que figuraban de algunos clientes datos personales como nombre, apellidos, domicilios, teléfonos fijos y móviles, número de cuentas bancarias, etc.

Habiéndose infringido tanto los artículos 9 (Medidas de seguridad) como 10 (Deber de secreto) de la LOPD, nos encontramos ante un supuesto en el que un mismo hecho deriva en dos infracciones dándose la circunstancia que la comisión de una, implica necesariamente la comisión de la otra, y según la resolución "procede subsumir ambas infracciones en una".

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad CHRISTOFLE ESPAÑA, S.A., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

2 de julio de 2008

Y no será por no avisar

Siguen y siguen, son como el conejito de Duracell, no dejan de caer resoluciones por el envío de spam.

En el procedimiento sancionador PS/00430/2007, instruido por la Agencia Española de Protección de Datos a la entidad DT INFORMÁTICA SL, vista la denuncia presentada por S.S.S., se probó que el denunciante había recibido un correo electrónico ofreciendo servicio de consultoría informática, software, asistencia técnica informática, servicios de Internet, adecuación de empresas a la LOPD, etc. El mensaje incluía el típico Aviso Legal con el texto: “…su dirección de correo electrónico ha sido obtenida de fuentes accesibles al público…” indicando a efectos de cancelación de datos: D.T. informática, SL.

Los representantes de la empresa reconocieron haber remitido un correo informativo-comercial a la dirección ....A..@.... con fecha 07/06/2007. Manifestaron no disponer de consentimiento explicito del titular o titulares de la dirección de correo para la remisión de comunicaciones comerciales si bien entendían que disponían de consentimiento tácito, al haber obtenido la dirección de correo mencionada a través de la entidad TECNOLOGIA DE LA INFORMACION Y SISTEMAS AVANZADOS 2000 SL, previo comunicado de esta última a todos sus contactos comerciales, a través de correo electrónico y ordinario, de la transmisión de sus datos a D. T. INFORMATICA, SL. Indicaron que el dato ....A..@.... puede también obtenerse fácilmente a través de la página www...A....

Veamos ambas alegaciones.

Alegan que disponen de consentimiento tácito obtenido a través de una cesión de datos informada, pero en tal comunicación, que es el anuncio del traspaso de un servicio técnico, sólo se decía que: :“A fin de agilizar el proceso de adaptación Teinsa 2000 transmitirá los datos relativos a su empresa a D.T. Informática, para evitar que al ponerse en contacto con el centro de asistencia pueda haber algún problema. En caso de no estar de acuerdo nos lo deben comunicar al teléfono de TEINSA 2000, a xxx@xxxxx.es o directamente al teléfono de D.T.Informática.”
Al no hacer alguna a la remisión de comunicaciones comerciales por ninguna vía, tal consentimiento no es válido.

Por otro lado alegan que el dato puede obtenerse fácilmente de la web del denunciante. Ya hemos comentado muchas veces que internet no es una fuente de acceso público, que aquí entra en juego no sólo la LOPD sino también la LSSI, etc., etc, pero es que además, y aquí viene lo mejor, el propio denunciado se había preocupado de avisar en su web incluyendo este texto:

“ADVERTENCIA: En ningún caso la publicación de estos datos de contacto significa el consentimiento a recibir comunicaciones comerciales no solicitadas. Cualquier comunicación de este tipo recibida por correo electrónico es un delito tipificado por la LSSI y será denunciada ante la Agencia de Protección de Datos a efectos de abrir expediente sancionador, pudiendo resultar en sanciones de hasta 601.012,10 euros. Así mismo queda expresamente prohibido incorporar esta información en cualquier tipo de fichero informatizado sin el consentimiento previo de On-Line Services 2000, SL. “


Y no iba en broma, más claro... la sanción.

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad DT INFORMÁTICA SL, por la infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 600 € (seiscientos euros) conforme a lo establecido en el articulo 39.1.c), en relación con el 40 de la citada Ley.