jueves, 26 de febrero de 2009

Desert Island LOPD Books

Un blogtor me pregunta si puedo recomendarle algún libro sobre protección de datos que no sea tan denso como el libro de este mes, que pueda leer como introducción a la materia. Pues bien, aquí va mi lista de Desert Island LOPD Books:

  • APARICIO SALOM, Javier: Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal. Editorial Aranzadi. Elcano (Navarra), 2000.
  • HEREDERO HIGUERAS, Manuel: La Directiva Comunitaria de Protección de los Datos de Carácter Personal. Comentario a la Directiva del Parlamento Europeo y del Consejo 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos. Aranzadi. Elcano (Navarra), 1997.
  • ALMUZARA ALMAIDA, Cristina (coordinadora) : Estudio sobre la protección de datos de carácter personal. Lex Nova, Valladolid, 2007.

miércoles, 25 de febrero de 2009

Citación de pacientes: Misión imposible

Razones ajenas a mi voluntad me han impedido dedicarles a Ustedes, queridos blogtores, la atención que se merecen. No obstante, hoy les recompensaré con un post a la altura de mi pluma (no hagan chistes, que ya somos adultos).

Leyendo el último número de la Revista Datos Personales, encuentro un interesante informe sobre "llamamiento a los pacientes que están citados a consulta a través de los sistemas de megafonía de un Centro Sanitario". Ustedes se preguntarán qué tiene esto que ver con la protección de datos....Piensen un poco....Sí, han acertado. Llamar por megafonía a un señor que va a hacerse una prospección urológica se considera una cesión de datos. Veamos lo que dice al respecto la Agencia de Protección de Datos de la Comunidad de Madrid:

"QUINTO.- La difusión por un servicio de megafonía del nombre de los pacientes y la consulta o servicio en que van a ser atendidos, al igual que la publicación del listado de pacientes citados en una consulta o la inclusión en el remite de una carta del nombre del servicio o unidad donde está siendo tratado, constituyen una cesión de datos regulada en los términos expuestos en los apartados anteriores.

SEXTO.- Atendiendo a la situación planteada y a la regulación que establece la LOPD para las cesiones de datos a terceros, al no ser de aplicación las excepciones contenidas en el apartado 2 del mencionado artículo 11 de la LOPD, debe requerirse el consentimiento de cada una de las personas cuyos datos pretendan divulgarse o exponerse, condición indispensable para poder proceder a su difusión por megafonía o inclusión en el listado, o carta, que se expondrá en lugar accesible para terceros.

Conforme a lo especificado en el artículo 11.3 de la LOPD, además, será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se le facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

Aún cuando el tratamiento de los datos de los pacientes por los profesionales sanitarios, las instituciones y los centros sanitarios públicos y privados, está legitimado, pudiendo realizarse amparándose en el consentimiento presunto por parte del interesado, que se presume existe cuando es el paciente el que voluntariamente acuda a ellos o hayan de ser tratados en o por los mismos, esta legitimación no exime de la necesidad de facilitar la información previa al paciente acerca del tratamiento que se va a realizar con sus datos, de la finalidad de la recogida de los mismos y, especialmente, de los destinatarios de la información.

SÉPTIMO.- Los interesados a los que se soliciten datos personales, en cumplimiento de lo establecido en el artículo 5 de la LOPD, deberán ser previamente informados de modo expreso, preciso e inequívoco: a) de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de los éstos y de los destinatarios de la información (en el supuesto analizado, especialmente, su divulgación por megafonía o exposición en la puerta de la consulta); b) del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; c) de las consecuencias de la obtención de los datos o de la negativa a suministrarlos; d) de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición (regulados en la LOPD); y e) de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

OCTAVO.- Por último, respecto al consentimiento necesario para poder proceder a la comunicación de datos a terceros, el artículo 11.4 de la LOPD establece que el consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable, por lo que el interesado podrá manifestar en cualquier momento su negativa a la comunicación o cesión de datos a terceros.

En conclusión, analizado el marco normativo vigente, para poder proceder a la divulgación por megafonía del nombre de los pacientes para ser atendidos en una determinada consulta o servicio, sería necesario, cuando menos, haberlos informado previamente de ese hecho y que no hayan manifestado su oposición al mismo. En ningún caso podrá presumirse la existencia de consentimiento presunto si no se ha cumplido previamente la obligación de informar que impone el artículo 5 de la LOPD.

Aún cuando se cumpla el deber de información y de obtención del consentimiento, deberá arbitrarse el procedimiento para poder excluir del sistema de aviso por megafonía, o de la relación a exponer, a aquellas personas que expresamente hayan manifestado su deseo de no ser llamados de tal forma, o figurar en la mencionada relación, sin que ello pueda condicionar, en forma alguna, la prestación del servicio que demanden."

Réfléchissons, que diría el fauno mallarmeano.

Buenas noches.

martes, 17 de febrero de 2009

Más lecturas recomendadas

El pasado 20 de enero, la Procuradora General de Asturias presentó una guía de derechos de los usuarios de las Tecnologías de la Información y de la Comunicación (TIC), editada por el Principado y disponible aquí. El Defensor del Pueblo Andaluz ya había preparado un documento de este tipo, que pueden descargar en este link.

Por otro lado, les informo que se acaba de publicar el número 37 (enero de 2009) de la Revista de Protección de Datos de la Comunidad de Madrid, gratuita y disponible on-line, como las guías anteriores.

Buenas noches.

miércoles, 11 de febrero de 2009

Envío de publicidad por e-mail (III): El mail de la persona recomendada

Algunas empresas solicitan a sus clientes que se faciliten datos de un familiar o amigo que pudiera estar interesado en los servicios que ofrece. Generalmente, entregar dicha información se premia de alguna manera (con puntos o con un juego de cuchillos de acero inoxidable). Sé que Ustedes se preguntan por la licitud de tales prácticas. ¿Puede la empresa utilizar los datos del recomendado incluyendo un "disclaimer" que indique que quien facilita los datos declara contar con el consentimiento del titular del dato?

La respuesta es no. Lean lo que señala la Agencia Española de Protección de Datos en la Inspección Sectorial de Oficio sobre llamadas telefónicas y mensajes de telefonía móvil con fines comerciales y publicitarios (Noviembre de 2008):

“Otra técnica utilizada para la captación de nuevos clientes consiste en la realización de llamadas telefónicas a personas cuyos datos (nombre y apellidos y número de teléfono) han sido facilitados por clientes de la propia compañía. El tratamiento de tales datos, de acuerdo con lo previsto en el artículo 6 de la LOPD requiere el consentimiento de los “recomendados”, por lo que sólo en el caso de que éstos previamente lo hayan expresado cabría entender que la técnica es acorde a la Ley. En este sentido, no podrían ser utilizados tampoco los datos que hubieran sido comunicados por clientes que desean mantener su anonimato de cara a la persona recomendada, dado que no parece razonable entender que aquéllos disponen del consentimiento previo de ésta para facilitar sus datos.

Precisamente, estrategias similares adoptadas por una compañía especializada en actividades de “permission e-mail marketing” han sido recientemente sancionadas por esta Agencia, entendiendo que el envío de comunicaciones comerciales electrónicas (“spam”) a las direcciones electrónicas así obtenidas vulneraba el artículo 21 de la LSSI, al no haber sido solicitado ni expresamente autorizado dicho envío por el destinatario, cuya dirección electrónica había sido facilitada por un supuesto “familiar o conocido”, el cual sí se había inscrito en el sitio web correspondiente."

Si le ha interesado este post, lea también:

martes, 10 de febrero de 2009

Libro del mes (Febrero)

BANEGAS NÚÑEZ, Jesús y MATEU DE ROS CEREZO, Rafael (Directores): Comentarios a la Ley 56/2007, de Medidas de Impulso de la Sociedad de la Información. Editorial Thomson Civitas. Madrid, 2008

Este mes les recomendaré uno de los pocos manuales que se han publicado sobre la Ley 56/2007. Como saben, se trata de una ley que, excepción hecha de sus tres primeros artículos, carece de contenido propio, puesto que se limita a introducir reformas de diversa índola en otras normas con el objeto de impulsar la sociedad de la información y el uso de las nuevas tecnologías.

La obra reseñada contiene un comentario sistemático del articulado de la ley, escrito por expertos en cada materia (un enfoque multidisciplinar en este caso se hacía necesario). Más de un autor se limita a repetir lo evidente, pero sin duda les resultará de utilidad para acercarse a una norma de la que todo el mundo habla y nadie sabe cómo poner en práctica.

domingo, 8 de febrero de 2009

Lectura recomendada

Ya se encuentra disponible el VIº Informe Anual de la Consultora Deloitte sobre Seguridad de la Información en Instituciones Financieras. Este año presta especial atención a los nuevos riesgos derivados del uso de Redes Sociales y de soportes extraibles como USBs, lectores de MP3 y PDAs. Es gratis y está lleno de gráficos. Seguro que les encanta.

jueves, 5 de febrero de 2009

A mayor abundamiento

Continuando con el tema de mi último post, les informo que la Guía sobre Videovigilancia de la AEPD incluye un apartado referido a la instalación de cámaras en el lugar de trabajo, donde se indican las siguientes obligaciones para el empresario:

"El artículo 20.3 del Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso. Entre estas medidas puede estar la captación y/o tratamiento de imágenessin consentimiento.

No obstante tales prácticas se encuentran plenamente sometidos a la LOPD y la Instrucción 1/2006 y deben cumplir con requisitos específicos:
  • El tratamiento se limitará a las finalidades previstas por el Estatuto de los Trabajadores, y/o en todo caso a finalidades legítimas reconocidas por la normativa vigente, debiendo cumplir en este último caso adicionalmente las previsiones específicas que sean de aplicación.
  • Respetarán de modo riguroso el principio de proporcionalidad:
    - Se adoptará esta medida cuando no exista otra más idónea.
    - Las instalaciones, en caso de utilizarse, se limitarán a los usos estrictamente necesarios captando imágenes en los espacios indispensables para satisfacer las finalidades de control laboral.
    - No podrán utilizarse estos medios para fines distintos de los propios del control laboral salvo que se trate de fines legítimos y se adopten las medidas pertinentes para el cumplimiento de la normativa que les sea de aplicación.
  • Tendrán en cuenta los derechos específicos de los trabajadores respetando:
    - Los derechos a la intimidad y el derecho fundamental a la protección de datos en relación con espacios vetados a la utilización de este tipo de medios como vestuarios, baños, taquillas o zonas de descanso.
    - El derecho a la propia imagen de los trabajadores.
    - La vida privada en el entorno laboral no registrando en particular las conversaciones
    privadas.
  • Se garantizará el derecho a la información en la recogida de las imágenes:
    - Con información específica a la representación sindical.
    - Mediante el cartel anunciador y el impreso establecidos por la Instrucción
    1/2006.
    - Mediante información personalizada.
  • Se procederá en su caso a la creación y/o inscripción del correspondiente fichero.
  • Se garantizará la cancelación de las imágenes en el plazo máximo de 30 días y únicamente podrán conservarse aquellas que registren una infracción o incumplimiento de los deberes laborales.
  • Se garantizarán los derechos de acceso y cancelación.
  • Se formalizarán en su caso contratos de acceso a los datos por cuenta de terceros.
  • Se adoptarán las correspondientes medidas de seguridad."

domingo, 1 de febrero de 2009

Política de uso de Internet y correo electrónico

Lo prometido es deuda. Como continuación de mi post de 19 de enero, sobre vigilancia en el lugar de trabajo, les dejaré unas notas para redactar una Política de Uso de Internet y Correo Electrónico". Pero primero unas recomendaciones:

1º. No sean demasiado estrictos. Establecer una política draconiana sólo dará como resultado empeorar el ambiente de trabajo y mostrar al empresario como un negrero. Recuerden que aunque se disponga de un derecho, la ley no tolera que se abuse de él con mala fe.

2º. Establezcan claramente las medidas sancionadoras que se tomarán en caso de incumplimiento de la política.

3º. Describan los controles que llevarán a cabo con total transparencia.

4º. Distribuyan la política entre el personal por escrito, a través de un mecanismo que permita acreditar el contenido de la comunicación y la fecha en que se llevó a cabo.

Teniendo en cuenta todo lo anterior, la política que les propongo, pensada para una empresa de tipo medio, es la siguiente:

POLÍTICA DE USO DE INTERNET Y DEL CORREO ELECTRÓNICO DE EMPRESA

Esta política tiene por objeto establecer las normas para el uso de Internet y del correo electrónico en EMPRESA, y resulta de obligado conocimiento y cumplimiento para todo el personal interno y externo de EMPRESA (usuarios).


NORMA GENERAL

EMPRESA pone a disposición de sus trabajadores y colaboradores distintas herramientas de informática que deberán utilizarse para fines profesionales.


Se tolerará un uso personal de las mismas para fines particulares, siempre que se produzca que manera incidental y no atente contra la imagen, integridad y el rendimiento del negocio de la Organización.

Los trabajadores y colaboradores que abusen de las herramientas informáticas que se le han asignado serán apercibidos formalmente por la Dirección de la Organización o por su superior jerárquico.


USO DE INTERNET

EMPRESA controla por motivos de seguridad los accesos a Internet realizados desde sus instalaciones. Aquellos trabajadores que realicen un abuso de este medio serán apercibidos. Así por ejemplo, se realizan un chequeo trimestral de los accesos a Internet realizados por cada usuario y los horarios de dichos accesos....(NOTA: aquí pueden incluir el mecanismo de control que se ha adoptado).

Consultar páginas no autorizadas y realizar descargas de sitios no controlados puede suponer un peligro para los sistemas de información de la Organización. El acceso a Internet en horario de trabajo y desde equipos de la empresa será moderado, no afectando en ningún caso a la productividad de los trabajadores.
Está prohibido:
  • El acceso a páginas de contenido ilícito o que atenten contra la dignidad humana: aquellas que realizan apología del terrorismo, páginas con contenido xenófobo, racista, o antisemita, etc...
  • La participación en foros o chats de discusión.
  • La descarga de ficheros, programas o documentos que contravengan las normas de la compañía sobre instalación de software y propiedad intelectual. Ningún usuario está autorizado para instalar software en su ordenador. El usuario que necesite algún programa específico para desarrollar su actividad laboral, deberá comunicarlo al responsable informático que se encargará de realizar las operaciones oportunaas.
Ejemplos de páginas web autorizadas son aquellas que:
  • Faciliten un contenido relacionado con la función del trabajador en la empresa (por ejemplo, sitios institucionales, revistas especializadas, etc…)
  • Faciliten noticias de interés general (como periódicos digitales, etc....)
  • Faciliten servicios de guías telefónicas, callejeros, meteorología, etc...
En todo caso, la consulta de estas páginas no podrá resultar abusiva.

USO DEL CORREO ELECTRÓNICO

La cuenta de correo que proporciona EMPRESA se destinará a uso profesional, no pudiéndose utilizar para fines particulares, excepto en casos puntuales justificados.

Está prohibida la suscripción del correo electrónico corporativo a servicios de noticias no relacionados con la actividad profesional.

Todos los empleados y colaboradores de EMPRESA que dispongan de una cuenta de correo corporativa seguirán las siguientes buenas prácticas:
  • No facilitar la cuenta de correo a personas no autorizadas.
  • No utilizar la cuenta de correo como dirección de contacto en trámites personales.
  • No utilizar el correo corporativo con fines comerciales o financieros sin relación con EMPRESA.
  • No participar en el envío de cadenas de mails.
    No distribuir mensajes con contenidos inapropiados (contenido ofensivo, homófobo, racista, discriminatorio, …)
Se deberá verificar el destinatario y el contenido del mensaje antes de enviarlo. El usuario utilizará como firma automática de sus mails el modelo corporativo donde aparece su puesto en la empresa y el aviso de confidencialidad corporativo. Queda prohibido desinstalar la firma automática de su gestor de correo.

EMPRESA podrá acceder a las cuentas corporativas de los usuarios en caso de enfermedad, vacaciones o despido de los empleados para continuar realizando las actividades propias de su puesto trabajo.

Ese acceso se realizará únicamente en caso de ser necesario, a solicitud del superior jerárquico del trabajador y con conocimiento del responsable de RRHH. Es obligación del trabajador borrar todos los mensajes de carácter personal que pudieran estar contenidos en su buzón de correo periódicamente.

CONSECUENCIAS DEL INCUMPLIMIENTO DE ESTA POLÍTICA

Cualquier trabajador que realice un mal uso de las herramientas informáticas que le han sido asignadas, será apercibido formalmente y por escrito por su superior jerárquico. Los abusos continuados, una vez realizado el apercibimiento, tendrán la consideración de infracción laboral grave y podrán dar lugar a sanciones disciplinarias.