miércoles, 28 de julio de 2010

Citas de seguridad

Aunque les resulte difícil de creer, Graham Greene es una fuente inagotable de citas de seguridad. Yo, por ejemplo, en mis reuniones lopedé siempre recuerdo la importancia de concienciar al personal en el cumplimiento recurriendo a una novela del escritor inglés: El factor humano. De la misma forma que los planes más sofisticados se vienen abajo si el espía se enamora, los controles que establezcamos, el dinero que gastemos en tecnología, no sirven de nada cuando los trabajadores no colaboran. La seguridad también depende en gran medida del factor humano.

En Nuestro hombre en la Habana, Greene nos ofrece un ejemplo de por qué hay que destruir adecuadamente el papel.

Un agente del Servicio Secreto Británico está tratando de convencer a Mr. Wormold, el protagonista de la novela, que regenta un humilde comercio de aspiradoras, de que se ponga a las órdenes de su Majestad.

"Con sus aspiradoras -le dice- tiene Usted entrada en todas partes". "¿Quiere que analice el polvo", responde Wormold. Y a esto le replica el espía: "Tal vez le parezca chistoso, amigo, pero en tiempos de Dreyfus, la principal fuente de información de la inteligencia francesa era una sirvienta que juntaba los papeles de los canastos de la embajada alemana".

No sé si la historia es verdad, pero pienso utilizarla. Por cierto, la Agencia acaba de publicar un informe jurídico en el que analiza la condición de encargado del tratamiento de las empresas contratadas para destruir documentación.

Buenas noches.

martes, 27 de julio de 2010

Anulación de artículos del reglamento de desarrollo de la LOPD

Supongo que se habrán enterado Ustedes, porque ha sido la comidilla de todos los círculos Lopedé hoy: Ya tenemos las sentencias que resuelven los recursos presentados por Experian Bureau de Crédito, Equifax y la Federación Española de Comercio Electrónico y Márketing Directo frente al RLOPD.

Como consecuencia de las mismas, los artículos 11, 18, 38.1.a y 2 y 123.2. del reglamento han sido anulados.

Pueden leer el texto completo de las sentencias aquí.

lunes, 26 de julio de 2010

Algunas lecturas de interés

Pueden Ustedes consultar desde hoy mismo el nuevo número de la Revista de Protección de Datos de la Agencia de la Comunidad de Madrid (Número 46, Julio de 2010).

Como siempre les digo, es una de las publicaciones más interesantes y completas para estar al día en cuestiones de protección de datos, aunque los artículos de opinión no siempre son de la calidad deseada. En este número, por cierto, no ocurre eso. Les recomiendo que lean el trabajo de Javier PUYOL MONTERO y Amaya VELASCO GÓMEZ, titulado "A propósito del régimen de las comunicaciones previstas en los artículos 40.3º y 14 del RLOPD".

Ya que hablamos de Agencias Autonómicas, les diré que la Agencia Catalana ha comenzado a publicar un boletín (muchísimo más escueto que la Revista Datos Personales) que pueden encontrar aquí. Desgraciadamente, por ahora, no se encuentra disponible una versión en castellano.

Me ha llamado la atención comprobar que la Directora de la Agencia Catalana tiene un blog o bloc, por utilizar el témino catalán. Quizás se anime Don Artemi a hacer lo propio.

En fin, estos días he estado asistiendo al Curso de Lead Auditor BS 25999 (Continuidad de Negocio) de la BSI. La verdad es que me ha resultado muy interesante. Mañana les comentaré algo sobre el mismo, si mi salud me lo permite.

Buenas noches.

martes, 13 de julio de 2010

Grabación de llamadas telefónicas

Revisando la normativa sobre contratación a distancia, y en concreto sobre venta telefónica, no he encontrado ninguna obligación de informar de que la llamada va a ser grabada. Sin embargo, algunos clientes, tan reacios a incluir alocuciones automáticas en cumplimiento del art. 5 de la LOPD, me insisten en que "por ley" hay que decir al principio de la conversación algo así como "por motivos de seguridad, esta llamada será grabada".

En el Real Decreto 1906/1999, de 17 de diciembre, por el que se regula la contratación telefónica o electrónica con condiciones generales, la única referencia a grabaciones de voz se encuentra en el artículo 5. Tal precepto dispone que corresponde al predisponente la carga de la prueba sobre la existencia y contenido de la información previa de las cláusulas del contrato, y otros aspectos relativos a la celebración de éste. Igualmente, indica que se admitirá como medio de pruebas cualquier documento que contenga la citada información,incluyendo las cintas con grabaciones sonoras.

En fin, quizás Ustedes puedan arrojarme luz sobre este asunto.

NOTA ACLARATORIA: En los párrafos anteriores me refería a normas distintas a la LOPD que obliguen a utilizar una alocución que informe de que la conversación va a ser grabada. Está claro que la obligación de informar, y en algunos casos, de solicitar el consentimiento, existe de acuerdo a la normativa sobre protección de datos, cuando en una conversación telefónica se puede identificar a la persona que habla o ésta facilita su domicilio, su nombre, etc...La voz, por sí sola, puede tener la consideración de dato de carácter personal (y esto se aplica tanto en relación al cliente como en relación al operador que atiende la llamada). Tenga en cuenta que una alocución que indique simplemente "por motivos de seguridad, está conversación será grabada" no incluye las menciones mínimas recogidas en el art. 5 de la LOPD.

lunes, 12 de julio de 2010

La protección de datos en el entorno laboral entendida como arma arrojadiza

En la línea de los últimos post que vengo compartiendo con Ustedes, quiero llamarles la atención sobre esta resolución de la Agencia.

Los hechos son los siguientes: Una trabajadora realiza una fotocopia de su nomina en la fotocopiadora de la empresa y descubre que en el reverso aparecen datos de carácter personal de otros trabajadores. Al parecer, alguien había colocado en la bandeja de papel de la máquina documentos de deshecho para aprovechar la cara en blanco con nuevas impresiones.

La trabajadora denuncia a la empresa ante la Agencia Española de Protección de Datos, que abre un procedimiento sancionador, imponiendo a la entidad una multa de 6.000 euros. La empresa disponía de una política de tratamiento de la información en soporte papel, de obligado conocimiento y cumplimiento por todos los empleados de la compañía, y había implantado en sus instalaciones medidas de seguridad apropiadas.

En mi opinión, esta sanción es inmerecida. En este caso, los datos de carácter personal nunca salieron de la empresa y sólo accedió a ellos una trabajadora sometida al deber de secreto de acuerdo al art. 1o de la LOPD. Entiendo que la obligación de un trabajador que detecta una incidencia o un fallo de seguridad en la empresa es ponerlo en conocimiento del responsable de seguridad o de quién corresponda, a la mayor brevedad posible. Sin embargo, esta trabajadora se fue derechita a la Agencia.

Estamos llegando a una situación absurda, en la que las empresas invierten cada vez más dinero en formar a sus trabajadores en protección de datos y en seguridad de la información, y éstos aprovechan los conocimientos que adquieren para sabotear desde dentro. La Agencia, aceptando este tipo de denuncias, fomenta un régimen similar al de la STASI: Cualquier incidencia de seguridad, hasta la de más escasa repercusión, que debería resolverse internamente, se transforma en un procedimiento sancionador si llega a conocimiento del trabajador equivocado. Y créanme, he vivido situaciones similares en la práctica que ya les contaré algún día.

Buenas noches.

domingo, 4 de julio de 2010

Sentencia del Tribunal Supremo de 18 de mayo de 2010

He leído muchos comentarios y referencias sobre la Sentencia del Tribunal Supremo de 18 de mayo de 2010 (Nº 316/2010), que resuelve un supuesto de responsabilidad de prestadores de servicios de la sociedad de la información.

En un foro gestionado por la empresa Ruboskizo, se insertó un mensaje suplantando la personalidad de un abogado, con mentarios injuriosos para su principal cliente. A pesar de que Ruboskizo retiró el comentario en cuestión, el abogado consideró que la actutud de la empresa había sido negligente. Ruboskizo fue condenada en primera instancia y en apelación, sin embargo, el Tribunal Supremo determina:

“La Ley 34/2.002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, al incorporar al Ordenamiento jurídico español la Directiva, dispone – en el artículo 13, apartado 2 – que, para determinar la responsabilidad de los prestadores de servicios por el ejercicio de actividades de intermediación, “se estará a lo establecido en los artículos siguientes”, entre ellos, el 16 que, en relación con los prestadores de servicios de alojamiento o almacenamiento de datos – condición que es la de la demandada – proclama que los mismos no serán responsables por la información almacenada a petición del destinatario, siempre que no tengan conocimiento efectivo de que la actividad o la información es ilícita o lesiona bienes o derechos de un tercero susceptible de indemnización o, si es que lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.

En la sentencia de 9 de diciembre de 2.009 nos pronunciamos sobre la interpretación de ese artículo 16 conforme a la Directiva 2.000/31/CE, en lo referente al conocimiento efectivo, a cuya ausencia se condiciona, en uno de los supuestos, la liberación de responsabilidad de la prestadora de servicios de alojamiento por la información almacenada a petición del destinatario de aquellos.

Pues bien, la Audiencia Provincial no ha tenido en cuenta ese conjunto normativo al declarar la responsabilidad de la demandada Ruboskizo, SL. Y, por ello, no ha extraído consecuencia alguna de que dicha sociedad no conociera ni pudiera razonablemente conocer, directamente o a partir de datos aptos para posibilitar la aprehensión de la realidad, que quien le suministraba el contenido lesivo para el demandante no era él, sino otra persona que utilizaba indebidamente su nombre con el ánimo de perjudicarle; ni de que, conocedora con posterioridad de esa realidad, merced al requerimiento del perjudicado, retirase el comentario sin tacha de negligencia.”

jueves, 1 de julio de 2010

La AEPD permite que el empresario controle el uso de Internet por parte de los trabajadores

Encontrarán interesante la resolución de archivo de actuaciones del expediente E/03490/2009, que se refiere a un supuesto de despido disciplinario por uso abusivo de Internet y de herramientas informáticas. El trabajador despedido presenta una denuncia ante la Agencia, alegando que la empresa había llevado a cabo de “modo subrepticio” una auditoria informática en el ordenador que se le había asignado, con las siguientes irregularidades: “No había ningún tipo de prohibición en el uso privativo de Internet, no se había avisado ni solicitado permiso al comité de empresa ni a él y se rastrearon las páginas web accedidas por él sin su conocimiento ni consentimiento”.

La empresa denuncia basa su defensa en dos argumentos:

1º. En el momento en que los trabajadores se incorporan a la plantilla de la empresa, se les hace entrega del documento "Manual de Acogida", de lectura obligatoria y que, entre otras informaciones, contiene las Normas Internas relativas a los Sistemas de Información (apartado 5.3.2) que describen las facultades de control y auditoría sobre los Sistemas de Información. Este manual se encuentra así mismo disponible en la intranet de la compañía.

2º. La Sentencia del Tribunal Supremo de 26 de septiembre de 2007 determina que el artículo 20.3 del Estatuto de los Trabajadores habilita al empleador para controlar los medios de comunicación electrónicos que en cada caso asigne a sus empleados para el desarrollo de sus funciones, siempre que se les haya informado previamente de dicha posibilidad. En el caso de las herramientas informáticas, no resultan de aplicación las garantías del art. 18 de dicho Estatuto, y por lo tanto, no es necesaria la presencia de los representantes sindicales en los registros de equipos informáticos. Además, el procedimiento de auditoría se efectuó a nivel general en todos los equipos de la empresa, y con el objeto no sólo de detectar posibles anomalías en la utilización de los medios puestos a disposición de los empleados, sino también de revisar la seguridad del sistema.

La Agencia archiva las actuaciones, concluyendo lo siguiente:

En el presente caso, la operativa de contratación de FONT SALEM implica facilitar a los trabajadores un Manual de Acogida que recoge las revisiones en torno al uso de los soportes informáticos, así como la posibilidad de realización de auditorias a tales efectos. Por tanto, FONT SALEM no sólo se encontraba legitimada, de acuerdo a la jurisprudencia vista y a lo determinado por el artículo 20.3 del Estatuto de los Trabajadores, a realizar actuaciones de control sobre los ordenadores proporcionados a los trabajadores, que no olvidemos que se instauran como una herramienta de trabajo, y no como un efecto personal del profesional, sino que realizó las oportunas previsiones en cuanto al uso de los mismos, que si bien, como se ha visto, se ven sometidas a un margen de actuación privada reconocido como hábito social, también encuentran limitado su alcance de acuerdo tanto al Manual de Acogida referenciado, como por lo considerado tanto jurisprudencial como doctrinalmente. Por lo anterior, hemos de determinar que la intervención en el ordenador facilitado por la empresa al afectado, no supone como tal, una actividad infractora de la normativa en materia de protección de datos, ni afectación de la intimidad del afectado, como se ha reconocido, en lo que afecta a éste punto, tanto en el proceso seguido ante el Juzgado de lo Social nº 5 de Valencia, como por las previsiones jurisprudenciales existentes.”

Pueden leer el texto completo de la resolución aquí, donde encontrarán el texto que se utilizó para informar a los trabajadores del uso permitido de las herramientas informáticas.