Por este motivo acabamos de publicar una aplicación de evaluación de la LOPD en empresas y organizaciones. Esta aplicación puede orientarte acerca del estado del cumplimiento de la Ley Orgánica de Protección de Datos en tu empresa y de lo que se necesitaría realizar (auditoría, adecuación, etc.) en cada caso concreto.

¡Evalúate para saber tu estado!

No fue ni en una novela ni en el periódico, si no en la misma ley.

Atículo 3. Definiciones

g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Y una explicación muy sencilla: Es el responsable de los datos, pero externalizado.

Eso sí, debemos tener correctamente el contrato respectivo, en concreto, la seguridad de los Datos Personales que tratará esta otra organización.

Esta empresa sólo podrá tratar esos datos con la misma finalidad para los que los ha recogido la organización original.

Muchas veces este rol no se suele tratar correctamente: o no se trata o se confunde con una cesión de datos.

Como explica la propia AEPD en el Informe 0177/2010:

… delimitaremos si nos encontramos ante una cesión de datos o ante una realización de actividades reguladas por el artículo 12 de la Ley Orgánica, y para ello será preciso atender a las circunstancias de cada caso, de tal forma que existirá cesión en aquellos supuestos en los que quien reciba los datos pueda aplicar los mismos a sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento, lo que la convertirá a su vez en un responsable del fichero o tratamiento, mientras que la figura regulada por el artículo 12 de la Ley Orgánica tendrá cabida en aquellos otros casos en que la entidad receptora de los datos se limite a efectuar determinadas operaciones sobre los mismos, sin decidir sobre su finalidad, restituyendo los datos al responsable una vez concluida la prestación contratada con aquél.

Así que cuando entre otra organización en escena, deberemos preguntarnos y tener claro con que careta subirá al escenario.

En el caso de que se trate de cesión lo más importante es que el propietario de los datos sea consciente de este hecho y nos haya dado su consentimiento.

Respecto al contrato entre la organización original y el Encargado de Tratamiento citado anteriormente, éste debe ser por escrito o en cualquier otra forma que permita acreditar su celebración y contenido, que deberá especificar las circunstancias previstas por los apartados 2 y 3 del artículo 12.

En el citado informe, recoge también la Sentencia de 19 de noviembre de 2003 de la Audiencia Nacional:

Para tener la condición legal de encargado del tratamiento, al que por cierto le es de aplicación el régimen sancionador que establece la Ley Orgánica 15/1999, según dispone el artículo 43.1 de la expresada Ley, es necesario cumplir una serie de exigencias necesarias, que operan a modo de garantías, establecidas en el artículo 12 de la Ley Orgánica 15/1999. Así es, cuando el tratamiento se realice por cuenta de un tercero debe constar “por escrito o en alguna otra forma que permita acreditar su celebración y contenido.”, por lo que no basta con acreditar que existe una relación jurídica entre el responsable del fichero y el encargado del tratamiento, sino que ésta ha de constar por escrito o por otra forma que permita acreditar su “celebración y contenido”. En este sentido, la propia Ley prevé un contenido mínimo del contrato entre las partes en el que deben constar una serie de estipulaciones necesarias, a saber, seguir las instrucciones del responsable del tratamiento, no utilizar los datos para un fin distinto, no comunicarlos a otras personas, estipular las medidas de seguridad.

En otro post será interesante hablar del periodo de conservación de los datos, establecido por el artículo 12.3:

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

Y más interesante aún, hablar de la realización por cuenta de un tercero de software que trate Datos Personales. ¿Cuántas veces hemos visto que para realizar un software se han dado directamente todos los datos reales? Eso no es ni cesión, ni Encargado de Tratamiento. Es directamente una bestialidad. Pero no quiero adelantarme en esta temática. Próximamente…

Referencias:

• Informe 0177/2010

Esta grabación se difundió por internet y comenzó la locura: se distribuyó su identidad, dirección postal y de correo electrónico, perfil en redes sociales, se crearon grupos que amenazaban a la señora de las formas más variopintas e que incluso pedían que se le despidiera de su trabajo.

Dejando al margen que fuera recriminable lo que la señora hizo, podemos ver un claro caso de lo que puede llegar a suceder cuando los datos personales se encuentran desprotegidos: ¿deberían haberse difundido su dirección postal, dónde trabajaba, cuál era su perfil en las redes sociales o su edad? Y es más, ¿cómo pudieron obtener esa información desde internet?

Desde PRiSE os invitamos a pensar sobre esto: ¿Sabes qué datos tienes publicados en redes sociales, foros y otras páginas web y que son visibles por toda la red? ¿Qué información publicas en tu blog o microblog?

Una buena manera de saber qué hay publicado de tí en la red es poner tu nombre y apellidos entre comillas en tu buscador favorito. Puede llegar a sorprenderte la cantidad de información personal que tienes publicada en internet.

Ésta realiza un análisis de las características que ofrece facebook para compartir tus datos personales con el resto del mundo.

Una vez realizado este análisis, la aplicación hace recomendaciones sobre qué debemos modificar en la configuración de nuestros perfiles para mejorar la privacidad y la protección de nuestros datos personales.

Una de las mejores características de esta aplicación es que no almacena ni comparte la información analizada, ya que está desarrollada para que se ejecute sólo en tu navegador.

Desde PRiSE recomendamos que revises las preferencias de privacidad de tus cuentas en redes sociales: ¡Hay que estar seguros de lo que compartimos sobre nosotros en la red!.

Actualización

Existe otra aplicación similar , la denominada SaveFace. Ésta funciona de forma similar a Scan for Privacy, con la salvedad de que este último directamente te protege la cuenta de facebook, sin pedirte confirmación ni mostrarte tu estado inicial.

Esto podría ser un aspecto a mejorar por parte de SaveFace, ya que quizás sea más educativo que sepamos qué es lo que no tenemos adecuado en nuestro perfil y vulnera la privacidad de nuestros datos.

Hace un año empezó un movimiento nacional… bueno, dos. Pese a que al principio parecía que se iba a crear una organización nacional para acreditar a los profesionales de la Protección de Datos, finalmente fueron dos las creadas.

Las dos organizaciones de las que hablamos son:

• Data Privacity Institute (DPI) dentro del ISMS Forum Spain. Cómo podemos leer en su carta de presentación:

Creado en julio de 2009 con el objetivo de unir a todas las personas y organizaciones que tienen interés y responsabilidades en la privacidad y la protección de datos personales, promoviendo la formación y excelencia de sus asociados y facilitándoles cauces de interlocución con las administraciones y autoridades de control. El DPI pretende asimismo ser una vía para la difusión de mejores prácticas en el uso y la protección de los datos personales entre las empresas y particulares españoles.

• Asociación Profesional Española de Privacidad (APEP). Cómo podemos ver en su página web:

Constituida en junio de 2009 para integrar a profesionales de la protección de datos personales y de la privacidad para elaborar códigos éticos y certificaciones de competencias, fomentar el conocimiento y defender los intereses profesionales de sus asociados, velando por el interés general de la profesión de expertos en privacidad, y en especial, para el reconocimiento público de la misma.

Ambas organizaciones nacieron al únisono, así como sus correspondientes certificaciones:

• El DPI ha puesto a disposición de los profesionales la certificación denominada Certified Data Privacy Professional (CDPP).
• Por su parte, la APEP ofrece la APEP Certified Privacy (ACP) con la posibilidad de dos especializaciones:
  • Auditor (A)
  • Consultant & Security Manager (CSM)

Para aclarar un poco ambas certificaciones vamos a intentar hacer una tabla resumen de las características más destacadas de ambas:

Respecto al Grandfathering recordaremos que se trata del proceso de conseguir la certificación tras demostrar una cierta experiencia profesional en el ámbito de la Privacidad y la Protección de Datos.

Para poder tramitar el Grandfathering con el DPI será necesario cumplir con los siguientes requisitos:

• Estar en posesión de un título universitario oficial de Licenciado, Ingeniero o Diplomado
• Estar en posesión de un título de Master universitario o postgrado por más de 300 horas, en Derecho, Seguridad de la Información, Auditoría, o de Sistemas de Información
• Haber publicado al menos dos artículos en aspectos relacionados
• Haber realizado formación como formador en temáticas relacionadas
• Estos dos últimos requisitos pueden ser sustituidas acreditando alguna de las siguientes certificaciones en vigor: CIPP, CISA, CISM, CISPP o Lead Auditor ISO 2700.

Respecto a la APEP, estos son los requisitos para el proceso de apadrinamiento:

• Probar un mínimo de 40 proyectos relacionados con la PD, o
• Acreditar una experiencia mínima de 5 años en la materia
• Es posible convalidar 8 proyectos o 1 año (máximo de 16 proyectos o 2 años):
  • Estar en posesión de un Máster en la materia
  • Certificaciones: CISA, CISM, IAPP, etc

Para que este post no se alargue en demasía, en breve publicaremos otro para poder comparar los dos temarios que recientemente se han publicado en ambas organizaciones.

A partir de aquí, veremos que siglas son las que más proliferan dentro de unos meses…

Más información:

• https://www.ismsforum.es/dpi/dpi_cdpp.php
• http://www.apep.es/acp/

La semana pasada recuperé la citada cuenta de correo y pensé en crearme una cuenta en facebook asociada a ésta.

Para mi sorpresa, ya tenía en mi perfil todo preparado para poder confirmar la relación de amistad con todas aquellas personas que habían solicitado ser mis «amigos» hace años. Por lo tanto:

1. Facebook tiene guardada toda dirección de correo a la que cualquier persona haya enviado una solicitud a través de Buscar a una persona

2. Facebook trata cuentas de correo de personas que no han solicitado el alta en la red social

Entro en Configuración de privacidad – Información de contacto e indico

que mi dirección de correo entonces@cuenta sólo la puedo ver yo.

Para mi confirmación, facebook me indica: Sólo yo puedo ver este contenido.

Verifico que en mi perfil no aparece la dirección de correo electrónico.

Después, realizo unas cuantas búsquedas. El facebook está para cotillear, no?

Y igual que te buscas en Google, en facebook no vas a ser diferente. Término de búsqueda: entonces@cuenta. Recuerdo mi acción previa: indicar que la dirección de correo sólo sea visible para mi.

Y facebook encuentra un perfil que responde a esos términos de búsqueda, imagináis cual?

3. Facebook no respeta el nivel de privacidad indicado por el usuario

No todos tenemos el mismo concepto de «visibilidad» que facebook.

Mi primera búsqueda fue en la APDCAT. Al tratarse de un organismo público de Catalunya, las competencias de los ficheros de protección de datos son de la agencia autonómica.
Diferentes búsquedas con diferentes valores en los diversos campos no dan ningún resultado exitoso. Así que envié un correo al ICD a través de su formulario de contacto. Recuerda, todo esto fuera de su horario laboral.

Pues bien, esta mañana a las 9.15, recibo una llamada del ICD para aclararme la situación y darme todos los datos necesarios para saber de la creación del necesario fichero.
Resumiendo: http://www.gencat.cat/diari/5256/08284057.htm

Impresionante. Yo aún sin tomarme el café y en el ICD ya había funcionado correctamente los procedimientos necesarios para que un usuario tuviera respuesta sobre una consulta en Protección de Datos.

Y es que un personal bien formado en la materia que tratamos hace que los procedimientos funcionen: que un correo, una consulta a través de un formulario, sea recibido o traspasado a la persona que debe realizar una determinada acción o a la que tenga el conocimiento necesario para resolver la consulta, depende del buen funcionamiento de la organización.

Es muy fácil que la organización tenga un buen documento de seguridad, unos procedimientos perfectamente redactados. Pero no es tan fácil que toda esa documentación llegue a todo el personal.

Lo triste de todo, que me sorprenda justamente que funcione bien. ¿No debería ser lo más normal?. Y un gustazo, una llamada para que no quede dudas de ningún concepto

Haciendo hincapié a mi búsqueda en la APDCat, he vuelto a buscar según los campos: DOGC 5256, obteniendo un resultado de 1021 resultados… Y teniendo en cuenta que una búsqueda más específica tampoco resultó, he realizado una consulta directamente a la APDCat para conocer como se debe realizar la esperada búsqueda.

La prueba teórica vendrá definida por:

•150 preguntas con una sola respuesta válida de 4 posibles

•Un caso práctico en el que se harán 20 preguntas con opción Verdadero/Falso.

•Se pasa con un 75% de respuestas correctas.

•No hay puntos negativos.

Será necesario la acreditación de experiéncia dentro de la Privacidad y la Protección de Datos.

Próximamente se publicará el temario y más detalles necesarios para su preparación.

Más información: https://www.ismsforum.es/img/a8/des98_CDPP_-_Certified_Data_Privacy_Professional.pdf

El año pasado, la AEPD resolvió 419 procedimientos sancionadores de los cuales  más de la mitad abarcaban los artículos 4 y 6 de la LOPD. Estos dos artículos tratan de la Calidad de los Datos y del Consentimiento del Afectado respectivamente.

Con respecto a la Calidad de los Datos, unos de los aspectos más sancionados es el que comprende el artículo 4.3:

Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

En cuanto al Consentimiento del Afectado, el apartado de más interés, en cuanto a sanciones procesadas es el 6.1:

El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

Para más información os adjuntamos dos gráficas que pensamos pueden ser bastante ilustrativas acerca de los artículos de las normas nacionales que han suscitado mas procedimientos sancionadores.

En posteriores entradas comentaremos los artículos con más procedimientos sancionadores y las resoluciones tomadas por la Agencia Española de Protección de Datos.
¡Estad atentos al blog!

]]> https://www.prise.es/blog/sentencias-la-agencia-espanola-de-proteccion-de-datos-en-2009/feed/ 0 https://www.prise.es/blog/trust-in-the-information-society/ https://www.prise.es/blog/trust-in-the-information-society/#comments Fri, 22 Jan 2010 11:54:05 +0000 http://www.prise.es/blog/?p=230 Inteco organiza junto a la Dirección General de la Sociedad de la Información y Medios de Comunicación de la Unión Europea la Conferencia sobre Confianza en la Sociedad de la Información (Trust in the Information Society), que tendrá lugar en León el 10 y 11 de febrero.

Este evento incluye las siguientes temáticas:

• Servicios en red y entornos informáticos de confianza
• Un marco europeo común para gestión de identidades
• Desarrollo de tecnologías y marco legal de la Unión Europea para protección de datos y privacidad
• Cooperación internacional sobre confianza y la investigación sobre seguridad

Más información: http://trustworthyict.inteco.es