27 de septiembre de 2008

Fuentes accesibles al público: Internet no

Internet es una tentación. Por ejemplo para un emprendedor. Parece que todo es posible porque es gratis, pero no.
Cuando me presentan gente joven del mundo web (o en las ferias, que hay de todo como en botica) no es raro que al rato de charlar sobre protección de datos, el individuo, bajando la voz y con tono de conspirador (sospechando supongo la respuesta a su cuestión), me diga algo así como: "yo tengo una base de datos enorme ¿podría hacer algo con ella?" Basta rascar un poco para averiguar cómo la ha conseguido: como un "spamer" artesano, copiando de aquí y de allá mientras navegaba por las procelosas aguas bitélicas de internet, es decir, de listados profesionales, páginas de repertorios, webs de empresa, cadenas
por correo electrónico, etc... Pues lo siento chico, la respuestas es no, no puedes hacer nada de lo que estás pensando.
La LOPD lo deja claro en el artículo 3j), cuando define "Fuentes accesibles al público":
Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin mas exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y los Boletines oficiales y los medios de comunicación.
Y lo reafirma en el artículo 7 del Real Decreto 1720/2007:
1. A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entenderá que sólo tendrán el carácter de fuentes accesibles al público:
a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.
b) Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica.
c) Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.
d) Los diarios y boletines oficiales.
e) Los medios de comunicación social.
Y por si quedaban dudas se termina de rematar con el Informe 0342/2008, donde se afirma:
Ambas definiciones tienen una enumeración taxativa respecto a lo que cabe considerar como fuentes accesibles al público, lo que impide que consideremos a las páginas web como fuentes accesibles al público. Por ello, para tratar la información contenida en dichas páginas debería de obtenerse el consentimiento de los afectados.
La tesis de la AEPD es que Internet no es un medio de comunicación social, así que en ningún caso las páginas web serían fuentes accesibles al público.

18 de septiembre de 2008

¿?

Llevo varias días dándole vueltas a una resolución (juro solemnemente haberla leído ya varias veces) sin lograr entenderla.
Se trata del Procedimiento Nº PS/00259/2008, iniciado a raiz de una denuncia (otra vez) de la Policía Local de Ourense en la que declara que ha sido localizado en una red de intercambio de ficheros P2P disponible en Internet (entorno compartido E-mule), un fichero denominado “(...X.....)”, que contiene datos de 1.250 alumnos de un centro de prácticas.
Tras el oportuno seguimiento tecnológico al fichero, en el que de nuevo la operadora de turno, Telefónica en este caso, le entrega a la Agencia los datos de IP sin decir ni pío, el rastreo termina en el domicilio de S.S.S., uno de los alumnos de las prácticas, que pese a haber firmado un compromiso de confidencialidad y custodia de la información reconoce que:
Hubo días en los que mi trabajo no estaba terminado en la oficina y me llevé el trabajo a casa para terminarlo. En la carpeta del proyecto que me llevaba a casa se encontraba la base de datos (...)
y después nos cuenta la vida y milagros del tal fichero y del ordenador donde quedó alojado sin aportar nada relevante hasta llegar al único punto en que podía basar su defensa:
Viendo el registro que el programa emule guarda del número de descargas realizadas de cada archivo compartido compruebo que dicho archivo fue únicamente descargado una vez, debiendo ser ésta el archivo que se aporta con las pruebas por la Policía Local de Ourense según indica el Acuerdo de Inicio de Procedimiento Sancionador. Por tanto ninguna otra persona ha adquirido copia de este archivo mediante el programa e-mule, no pudiendo haber hecho uso de los datos que contenía (...)
Por lo tanto, la Agencia podía haber pedido la comprobación técnica de este último extremo y haber solventado la cuestión con una falta leve y una sanción mínima, y sin embargo, vaya usted a saber porqué, el ponente de la resolución se mete en un berenjenal jurídico sobre el concepto de culpabilidad, y pese a haber indicado:
Por todo ello, debemos concluir que ha quedado acreditado que D. S.S.S. incumplió con el deber de secreto al que se había comprometido con PROINSSA, incurriendo así en la infracción del artículo 10 de la LOPD.
asegura luego:
No obstante en el presente caso, ha que tenerse en cuenta que D. S.S.S., no era en origen el responsable o encargado del fichero, y teniendo en cuenta los hechos acreditados y las alegaciones del mismo, en el sentido de que ha eliminado de su ordenador el fichero denominado “(...X.....)”, cuanto tuvo conocimiento de los hechos producidos, a través de la Agencia Española de Protección de Datos, procedería apreciar la falta de culpabilidad, tal como se recoge en la Sentencia de la Audiencia Nacional de 6 de febrero de 2008, que en su Fundamento de Derecho cuarto, establece: << La exigencia de la culpabilidad procede de lo que señala el articulo 130 de la Ley 30/92 cuando dice que: "Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia".
y termina con:
A estos razonamientos aun cabe añadir que en nuestras Sentencias de 23 de marzo y 16 de Junio de 2004 (recursos 435/2002 y 865/2002) también señalamos que "cuando se invoca la buena fe en el actuar, para justificar la ausencia de culpa -como se hace en el presente caso- basta con decir que esa alegación queda enervada cuando existe un deber específico de vigilancia derivado de la profesionalidad del infractor. En esta línea de tradicional reflexión, la STS de 12 de marzo de 1975 y 10 de marzo de 1978, rechazan la alegación de buena fe, cuando sobre el infractor pesan deberes de vigilancia y diligencia derivados de su condición e profesional" -SAN (1a) de 14 de septiembre de 2001 (Rec. 368/2000)-".
resolviendo:
PRIMERO: EXONERAR de responsabilidad a D. S.S.S. por los hechos imputados en el presente procedimiento sancionador.

Sospecho que la Agencia no ha sabido qué hacer ante un sujeto que realmente no es responsable del fichero ni encargado del tratamiento, pero tampoco un empleado de la empresa, sino un alumno que realiza unas prácticas y al que la parecer no se le puede suponer ninguna profesionalidad... pero sólo es mi sospecha.

Si alguien puede aportar sugerencias, que pinche en Comentarios.

14 de septiembre de 2008

Protección de datos en farmacias

A lo largo de estos años de trabajo comercial en el ámbito de la protección de datos, uno de los sectores más complejos que he encontrado es el de las farmacias. Son varias las provincias donde empresas de distribución de medicamentos han implantado supuestas soluciones en protección de datos a sus clientes, consistentes en altas de ficheros, creación de documentos de seguridad que nunca son revisados e instalación en algunos casos de routers para comuniaciones seguras (cuestión ésta última que atañe tanto a una parte como a la otra, y que estas distribuidoras implantan por su propia seguridad). Obviamente dejan al farmaceútic@ las más de las veces sin la auditoría a la que está obligado por conservar datos de salud, sin formación alguna y sin consultoría de referencia, y más aún sin defensa jurídica ante algún problema, pero al tiempo (ha pagado) convencido de su absoluto cumplimiento con la ley.
Menos mal que algunos medios del sector parecen estar mejor asesorados, y así en Correofarmaceutico.com (Grupo Recoletos) responden en su sección de consultas a dos profesionales inquietos y les explican el asunto de las auditorías y los contratos de tratamiento con terceros.
Cambio de 'software'
Soy titular y me dispongo a sustituir el programa de gestión de mi farmacia. ¿Debo notificar dicho cambio a la Agencia Española de Protección de Datos? ¿Además de esto debería realizar alguna otra acción? J. N. Granada
Actualmente, no se tiene que notificar a la AGPD el cambio de aplicaciones dentro de los sistemas de tratamiento de la información siempre y cuando se mantengan los mismos conjuntos de datos descritos en los ficheros que debe tener registrados en la AGPD. A su vez, el cambio de aplicación de gestión de su farmacia implica la realización de una auditoría extraordinaria. Según el reglamento de la Ley Orgánica de Carácter Personal, se define que "con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas". Entendemos que la aplicación de gestión de su farmacia es la que contiene la base de datos principal y se encuentra en esta la gran mayoría de los datos de interés.
Dicho informe de Auditoría deberá dictaminar sobre la adecuación de las medidas de seguridad aplicadas, identificando sus deficiencias y proponiendo medidas correctoras. Además, se deberá actualizar la información incluida en el Documento de Seguridad referente a los sistemas de información, adecuándolo a la nueva aplicación instalada.
Por último, en el caso de farmacias se está tratando con datos de nivel alto, con lo cual la nueva aplicación deberá cumplir con todas las medidas de seguridad expuestas en el real decreto (registros de accesos o configuración de perfiles, entre otras).

Acceso al hacer fórmulas
Habitualmente cedo datos de nuestros clientes a un laboratorio externo para la preparación de sus respectivas fórmulas. ¿Cómo puede afectarme la LOPD en este supuesto? M. S. Barcelona
En primer lugar, hay que tener en cuenta cuál es el tipo de vínculo existente entre usted y el laboratorio: si existe una cesión de datos a un tercero o bien es un acceso legítimo. En este caso, y por las características del servicio, es evidente que resultará imprescindible el acceso del laboratorio a los datos del fichero para su realización, y ante dicho supuesto, la ley estipula que cuando el acceso a los datos sea necesario para la prestación de un determinado servicio al responsable de tratamiento, éste no será considerado una comunicación de datos sino como un acceso legítimo.
La realización de los tratamientos por cuenta de terceros deberá estar reflejada por medio de un contrato, de tal forma que se permita acreditar su existencia y contenido, estableciéndose de forma expresa que el laboratorio únicamente tratará los datos conforme a las instrucciones del farmacéutico, y que no los utilizará con un fin distinto al que figure especificado en el mencionado contrato. Estos datos tampoco serán comunicados a otras personas.
Asimismo, el contrato deberá establecer las medidas de seguridad de índole técnica y organizativa, que garanticen la seguridad de los datos de carácter personal, las cuales eviten su alteración, pérdida, tratamiento o acceso no autorizado.

8 de septiembre de 2008

¿Responsable? de informática

Han sido ya varias las ocasiones en las que he comentado sanciones por la aparición de ficheros con datos personales colgados en redes P2P como el eMule, pero hasta ahora en todos los casos nos encontrábamos con usuarios de informática de muy bajo nivel, que además de cometer el error de instalar en un ordenador profesional un programa de intercambio de archivos (nada recomendable), lo configuraban de tal forma que daba acceso a todo el contenido del disco duro y no sólo, como es lógico, a la carpeta donde se guardan los archivos que sí se desea compartir.
Sin embargo en el procedimiento sancionador PS/00192/2008, instruido por la Agencia Española de Protección de Datos a la entidad ARDASA 2000, S.A., vista la denuncia presentada por la POLICIA LOCAL DE OURENSE, nos encontramos con que apareció en internet un fichero con datos de clientes y vendedores de la compañía. Realizada la oportuna visita de inspección:
3. Se ha verificado que en el ordenador utilizado por el responsable de seguridad de la entidad ARDASA 2000, S.A. tiene instalado el programa “eMule”, programa informático que permite compartir archivos y extraer ficheros a otros usuarios de Internet conectados. Asimismo, se comprueba que, en el momento de realizarse la inspección, se permite la ejecución del citado programa “eMule”.
Y en las propias alegaciones de la empresa se dice:
El programa eMule se encontraba instalado exclusivamente en un equipo, el del responsable de informática, sin acceso al servidor o a los demás equipos de la red.
(Las negritas son mías).

Menos mal (para la empresa) que puesto habían dado de alta los ficheros, disponían de documento de seguridad y habían implantando diferentes medidas de seguridad, en aplicación del artículo 45.5 de la LOPD se librán de la posible sanción de 60.000€ y el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ARDASA 2000, S.A., por una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

4 de septiembre de 2008

Y otra de sobres

Relacionado con la nota de ayer acerca de las sanciones por incorrectos ensobrados y el error de dejar a la vista a través de la ventanilla del sobre datos personales más allá de la dirección de envío, hay que señalar que si quien realiza este trabajo de ensobrado y etiquetado es una empresa externa, deberá tener con su cliente el correspondiente contrato de encargado del tratamiento, como señala el Informe Jurídico 0309/2008:
En relación con la actividad de pegado y ensobrado de etiquetas en cartas con folletos comerciales y en la recepción de direcciones de personas físicas por correo o fax, para la realización de envíos, la consultante está realizando una prestación de servicios por cuenta de terceros, lo que implica desde el prisma de la protección de datos, el tratamiento de datos de carácter personal por cuenta de su cliente, exigiendo por tanto la formalización de un contrato de encargado del tratamiento, pues es un encargado del tratamiento atendiendo a la definición de 3 g) de la Ley Orgánica 15/1999, “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.

3 de septiembre de 2008

Cuidado con lo que asoma por la ventanilla

Hace algún tiempo los inspectores de la Agencia Española de Protección de Datos aprendieron todos los secretos del ensobrado y envío masivo de comunicaciones a los clientes y sancionaron a una empresa con 60.000€ debido a que en algunos casos a través de la ventanilla de los sobres se veían más datos personales que la simple dirección de envío.
Este es un problema que el tiempo y la tecnología se encargarán de solucionar sustituyendo las comunicaciones en papel por electrónicas, pero mientras tanto y teniendo en cuenta que este proceso de digitalización es más tardío en la microempresa y el autónomo que en las PYMES, ¿cuántos pequeños empresarios están enviando documentos en papel a sus clientes sin fijarse en qué tipo de datos quedan expuestos a través de la ventanilla del sobre? Teniendo en cuenta el riesgo sancionador, yo echaría un vistazo al asunto.
Como muestra dos ejemplos recientes:
  • En el procedimiento sancionador PS/00020/2008, el Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad OPEN BANK SANTANDER CONSUMER S.A., por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.g)" de dicha norma, una multa de 60.200 € (sesenta mi doscientos euros) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
  • En el procedimiento sancionador PS/00526/2007, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad BANCO CETELEM SA, por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.g) de dicha norma, una multa de 60.102 € (sesenta mil ciento dos euros) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.