30 de noviembre de 2009

Nivel de seguridad en ficheros de recursos humanos y asesoría fiscal

Un nuevo informe del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) sobre un tema ya tratado con anterioridad en este blog, pero que sigue despertando dudas: en este caso el nivel de seguridad exigible a los ficheros mantenidos por los colegiados pertenecientes a la Corporación consultante y relativos a la gestión de recursos humanos de empresas clientes de los mismos o a la realización de actividades de asesoría fiscal de clientes que sean personas físicas.

El Informe 0511/2009 llega a las siguientes conclusiones:
  • En relación con los ficheros de gestión de nóminas o recursos humanos será posible la implantación de medidas de seguridad de nivel básico siempre que los datos de salud de los trabajadores se limiten a los enumerados en el apartado a) de este informe (grado o porcentaje de minusvalía, indicación del dato “apto” o “no apto”, y datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social).
  • En cuanto a los ficheros relacionados con la función de asesoría fiscal de los clientes, cabrá implantar sobre los mismos las medidas de seguridad de nivel básico siempre que el tratamiento de los datos de salud se limite al de discapacidad y los datos relacionados con las aportaciones a partidos políticos y sindicatos sean únicamente conservados en soporte no automatizado.
Nada nuevo, pero siempre es interesante retomar y aclarar las cuestiones relacionadas con la aplicación de la LOPD en asesorías, puesto que este tipo de empresas van a ser en muchas ocasiones las encargadas de solventar dudas sobre el cumplimiento de protección de datos a sus empresas clientes.

23 de noviembre de 2009

Compartir datos sin consentimiento

El procedimiento sancionador PS/00704/2008, instruido por la Agencia Española de Protección de Datos, se inicia tras la denuncia presentada por D. G.G.G. contra DIGITAL DISTRIBUTION MANAGEMENT, S.L. por comunicar sus datos de usuario del portal http://www....X..... a INVERLAND LEITARIEGOS, S.L., habiendo tenido constancia del hecho al intentar registrarse en el portal http://www....Y......

Ambas empresas comparten una plataforma tecnológica de apuestas con un modelo de negocio que pretende evitar que un usuario forme parte de los ficheros de ambas compañías simultáneamente. Para ello cuando un usuario se registra en uno de estos servicios, automáticamente se verifica si su código de usuario (número de pasaporte, D.N.I. o N.I.E.) figura ya inscrito en el fichero de usuarios del otro servicio. En tal caso, el sistema informa al usuario de que “Este NIF/NIE o pasaporte ya está registrado”, impidiéndole el alta.

Durante la inspección realizada, se pudo verificar que, tras dar de alta un nuevo usuario del servicio (identificado por un número de D.N.I. generado al azar) en el portal http://www....X....., ese mismo identificador de usuario era rechazado al intentar darlo de alta como usuario en el otro portal, obteniéndose el siguiente mensaje de error: “Este NIF/NIE o pasaporte ya está registrado. Por favor pónte en contacto con nuestro servicio de atención al cliente. E-mail duplicado. Por favor pónte en contacto con nuestro servicio de atención al cliente”. Esta circunstancia ocurria sin que en los Términos y condiciones de contratación se informara de este traspaso de datos.

Por lo tanto el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad DIGITAL DISTRIBUTION MANAGEMENT, S.L., por una infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45, apartados 3 y 5 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad LOTOSYSTEMS NETWORK, S.L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45 apartados 2 y 5 de la citada Ley Orgánica.

16 de noviembre de 2009

Sanciones por videovigilancia (3)

Tercera recopilación de sanciones de la Agencia Española de Protección de Datos, por motivo de instalaciones de videovigilancia (aquí la primera y la segunda).
  • Procedimiento sancionador PS/00030/2009, instruido por la Agencia Española de Protección de Datos a la entidad COMUNIDAD DE PROPIETARIOS DE C/ DEL SOL, 5, en (..........), vista la denuncia presentada por D. M.M.M., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 1.200 €.
  • Procedimiento sancionador PS/00066/2009, instruido por la Agencia Española de Protección de Datos a GASOLINERA LOFER S.A., vista la denuncia presentada por D. G.G.G., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 €.
  • Procedimiento sancionador PS/00133/2009, instruido por la Agencia Española de Protección de Datos a la entidad BOWLING PARK, S.A., vista la denuncia presentada por ÁREA DE GOBIERNO DE SEGURIDAD Y MOVILIDAD, por una del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d de dicha norma, una multa de 1.500 €.
  • Procedimiento sancionador PS/00141/2009, instruido por la Agencia Española de Protección de Datos a Dª R.R.R., como titular del establecimiento BAZAR EURO 0,60 Y MAS, vista la denuncia presentada por POLICIA MUNICIPAL DE MADRID, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d de dicha norma, una multa de 2.000 €.
  • Procedimiento sancionador PS/00144/2009, instruido por la Agencia Española de Protección de Datos a la entidad X.X.X., vista la denuncia presentada por POLICIA MUNICIPAL DE MADRID, por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d de dicha norma, una multa de 2.000 €.
  • Procedimiento sancionador PS/00208/2009, instruido por la Agencia Española de Protección de Datos a la COMUNIDAD DE TITULARES DE LOCALES DEL CENTRO COMERCIAL DE LA PLAYA DE AMADORES, vista la denuncia presentada por D. S.S.S., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 €.
  • Procedimiento sancionador PS/00280/2009, instruido por la Agencia Española de Protección de Datos a la entidad JUEMVIC, S.A., vista la denuncia presentada por la POLICÍA MUNICIPAL DE MADRID, por una infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 1.000 €.
  • Procedimiento sancionador PS/00300/2009, instruido por la Agencia Española de Protección de Datos a la entidad RENTAPINAR, S.L.U., vista la denuncia presentada por D. M.M.M., por una infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 1.500 €.
  • Procedimiento sancionador PS/00587/2008, instruido por la Agencia Española de Protección de Datos a la entidad TENESUR, S.A., vista la denuncia presentada DE OFICIO, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.500 €.

8 de noviembre de 2009

Guía de Relaciones Laborales de la AEPD

En el marco de la 31 Conferencia Internacional de Privacidad, la Agencia Española de Protección de Datos ha editado una interesante Guía de Relaciones Laborables donde se unifican varios de los conceptos, informes jurídicos y resoluciones ya indicados por la Agencia acerca de la protección de datos personales en las relaciones entre empresas y trabajadores, y que aquí se reúnen ahora en este documentos para unificar criterios.

La Guía se divide en cuatro bloques: Recursos humanos, Prevención de riesgos laborales, Controles empresariales y Relaciones con los sindicatos. Además se añade una sección sobre los deberes de los trabajadores que aaceden a datos de carácter personal. Para ello se recomienda:
  • Diseñar las funciones y responsabilidades de la plantilla de personal teniendo en cuenta su relación con el tratamiento de datos personales.
  • Formar adecuadamente a los trabajadores teniendo en cuenta su distinto grado de responsabilidad y garantizando que conozcan sus deberes de seguridad y secreto. La formación debe contribuir a crear una cultura de compromiso con la protección de datos.
  • Advertir y formar incluso a aquellos trabajadores que no teniendo una relación directa con los sistemas de información y los tratamientos de datos personales puedan poner en peligro el secreto o la seguridad de los mismos.


5 de noviembre de 2009

Grupos de empresas y la LOPD

Otro clásico en cuestiones planteadas por clientes: si tengo varias empresas que comparten bases de datos, basta con que la central cumpla la LOPD, ¿cierto? Pues no. Independientemente de que una serie de empresas compartan propietario o estén participadas, cada una es una persona jurídica con sus propias obligaciones legales, y de la misma forma que presentarán sus declaraciones de IVA o IRPF, su impuesto de sociedades, etc, de forma individual, cada una deberá afrontar el cumplimiento de sus obligaciones en el ámbito de la protección de datos.

El caso específico de la creación de una base de datos centralizada, que se sustenta de los datos de los empleados que envían a la misma las distintas empresas que forman el grupo, se trató en el Informe 0494/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD).

Siguiendo el criterio citado en el párrafo inicial, cada una de las empresas que integran el grupo será responsable del fichero de datos de sus correspondientes empleados, y por lo tanto la empresa central, que realmente estaría presntando un servicio de hosting (alojamiento de los ficheros) se configuraría como encargado de tratamiento, en el sentido del apartado g) del artículo 3 de la LOPD. Ello sucederá siempre que la empresa prestataria del servicio de alojamiento no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar la base de datos, sin utilizarla en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la Ley Orgánica 15/1999, requerirá el consentimiento de los afectados.

En definitiva, la incorporación de los datos de los empleados a la base de datos centralizada, exige que cada empresa haya informado debidamente a los afectados en los términos del artículo 5.1 de la Ley Orgánica 15/1999 y que haya obtenido el consentimiento de éstos para la incorporación de su información personal en dicha base de datos. Y por lo tanto, en buena lógica, deberán formalizarse los correspondientes contratos de tratamiento de datos entre las diferentes empresas y la central.