Como medida de formación y concienciación se celebró el 29 de noviembre , y con motivo del día internacional de la seguridad de la información ,en el Centro de Formación del Colegio Oficial de Médicos de Zaragoza, una charla sobre “protección de datos en el sector sanitario-privado”, impartida por Fernando Andreu de E&K Pro, la consultora de referencia del citado colegio, y en la que se desarrollaron aspectos básicos de conocimiento sobre la norma de privacidad que regula el tratamiento de datos de carácter personal y los puntos de conexión de esta , con la normativa sectorial del sector sanitario. A su vez, se impartieron pautas de actuación sobre aspectos relevantes de las medidas de seguridad, en un entorno práctico y de aplicabilidad.

A esta charla asistieron colegiados de distintas especialidades médicas, que se mostraron satisfechos con la propuesta de concienciación y formación en torno a la necesidad de conjugar la intimidad del paciente con la adecuada prestación asistencial, que planteo E&K Pro, como base de una buena relación en el entorno de la privacidad.

Las formas y el contenido de este documento han molestado a algunos profesores que han presentado quejas porque consideran que hay un exceso de celo del Rectorado, tal vez motivado por el caso de 2001, cuando la Agencia de Protección de Datos sancionó a la Universidad por haber cometido una infracción muy grave contra la Ley Orgánica sobre esta materia. Se le acusaba de facilitar datos personales de miles de alumnos a cambio de una compensación económica sin el consentimiento de los interesados. Desde entonces, la institución ha mantenido una estricta política de protección de datos.

Los profesores consultados insisten en que este caso es diferente y aseguran que la orden enviada frena los proyectos de innovación docente en los que, por ejemplo, se graban unas prácticas para que después el alumno pueda descargárselas y repetirlas en casa.

Según confirmaron ayer en la oficina del defensor universitario, se han recibido diez quejas formales en la última semana y se prevé que se sumen otras en los próximos días. Las cartas de protesta han llegado también al Rectorado. Desde allí, los responsables universitarios argumentan que la orden enviada por la gerente se sustenta en un informe del servicio jurídico de la Universidad en el que se dice que las imágenes en las que se reconoce al individuo que aparece son un dato de carácter personal y, por tanto, deben contar con autorización de los que allí salen. Además, tienen que ser registradas en un fichero en el que se indique la finalidad concreta que tendrán esas grabaciones. Añaden, también, que se está trabajando en crear ese fichero.

¿Hay que destruir materiales?

Pero mientras llega, los profesores piden al equipo del rector que aclare puntos como el que dice que hay que destruir las imágenes personales. Los docentes critican que desconocen si esa advertencia afecta a todas las grabaciones que en los últimos años han tomado los grupos investigadores, las que se conservan en los archivos de los centros (reportajes, simulaciones prácticas, materiales docentes...) o los vídeos de las celebraciones protocolarias. Por ello, piden que se informe de cómo deben actuar con ese material y que se tenga en cuenta que hay labores docentes innovadoras en las que el vídeo es imprescindible.

Invertir en seguridad de la información y seguridad informática es, para un empresario, lo más parecido a invertir en I+D para el desarrollo de nuevos productos o incluso es lo mas parecido a invertir en formación para el personal en la mejora de procesos internos.

Analizar, a estas alturas, si la LOPD tiene que cumplirse por parte de todas las empresas, entidades, organizaciones, asociaciones, agrupaciones y poner en duda un cumplimiento legal, seria objeto de otro texto.

Pero si me permitiré analizar la grandes ventajas que supone disponer de un marco de trabajo, de unos mecanismos de control para preservar la integridad, la confidencialidad y la disponibilidad de la información. Y todo ello, además de minimizar las perdidas en el negocio, puede incluso llegar a suponer nuevas y positivas oportunidades.

La LOPD es una ley tremendamente positiva para todas las organizaciones, muy al contrario de lo que sucede con otras leyes que regulan nuestro entorno. Es una ley ordenadora, practica, compleja de aplicar y en cambio muy facilitadora de aportar mejoras sustanciales en todos los negocios, ámbitos y sectores.

A menudo las empresas se muestran reticentes a su implantación, siendo frecuente la opinión contagiadora de que los hábitos y procesos generados no deben sufrir modificaciones en el tratamiento de la implantación. Creyendo, a menudo erróneamente, que no se dispone de datos o de información que deba ser protegida especialmente o incluso por que los movimientos internos de su organización, en cuanto a información se refiere son de correcta aplicación.

Pocos son quienes se detienen a analizar, reflexionar y valorar que los datos de su organización crecen diariamente, incluso desordenadamente, que la información se altera a lo largo del día en función de las necesidades del negocio, que terceros contratados para trabajar eventualmente en la empresa, no solo tienen acceso a los datos si no que habitualmente, conocen la contraseña de administrador del sistema que se les ha facilitado; que no existe comprobación ordenada y rigurosa de las copias de seguridad de la compañía; que los usuarios descargan todo tipo de archivos desde el exterior hacia su ordenador; que las inversiones en seguridad de la información justifican un aumento de las ventas o incluso que un empleado, al finalizar su relación laboral con la empresa, puede acceder a llevarse toda la información, sin que nadie se de cuenta.

La LOPD es una ley muy amena, de aplicación relajada, que permite organizar la compañía, preservar la información y a la vez, garantizar a los clientes la fiabilidad del cumplimiento del documento de seguridad, generando un elevado índice de confianza en todas las relaciones comerciales.

La LOPD es una ley que permite limpiar los discos de los ordenadores de ficheros multiplicados por el numero de usuarios de la compañía y elevado al cubo. Permite designar tareas nuevas y concretas a cada usuario, permite transmitir a clientes, colaboradores, proveedores, que sus datos no corren especial peligro si no, todo lo contrario.

Finalmente, la adaptación a la LOPD y su cumplimiento permiten eliminar la posibilidad de tener sanciones aportando tanto el valor necesario para la información como el valor al personal de todas las organizaciones

Un vecino encontró este material hace un par de semanas junto a un contenedor de reciclaje ubicado en el Coso zaragozano, muy cerca del palacio de Los Luna, sede del Tribunal Superior de Justicia de Aragón (TSJA) y de la _Audiencia Provincial. Según manifestó este ciudadano, no era la primera vez que hallaba este tipo de documentación “sensible” junto a la sede judicial, por lo que decidió recoger algunos de los legajos y traerlos a este periódico.

Durante los días posteriores, los periodistas que firman esta información pudieron comprobar personalmente que el hecho denunciado por este vecino anónimo no había sido puntual. De hecho, volvieron a aparecer documentos judiciales junto a los contenedores antes mencionados. Los papeles estaban en el suelo, por lo que cualquier persona podía agacharse a recogerlos y llevárselos a casa.

El hallazgo de este material ha sorprendido sobremanera a los máximos responsables del TSJA, la Fiscalía y la Consejería de Justicia, ya que aseguran que hay establecidos una serie de protocolos “muy estrictos” para reciclar este tipo de documentación. Además, como profesionales del Derecho, saben que la Ley Orgánica de Protección de Datos de Carácter Personal garantiza y protege las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Por la naturaleza de los documentos -al menos, de los recogidos por el vecino y este periódico- todo apuntaba a que procedían de la Fiscalía, y así lo ha confirmado el fiscal jefe de Zaragoza, Alejandro Fernández Furquet, tras analizar los escritos.

Circuito de destrucción

Fernández Furquet explicó que tienen un circuito de destrucción de documentos ya establecido y con las medidas de seguridad suficientes para que no ocurra algo así. No obstante, admitió que se ha podido producir un fallo humano, por parte de alguien que no ha seguido el protocolo previsto y se ha deshecho de los papeles de forma incorrecta. El fiscal detalló que tienen dos sistemas de recogida, uno con carácter periódico y otro diario. En ambos los papeles se depositan en contenedores que están situados en una zona de la Audiencia a la que no tiene acceso el público.

En el primer caso, cuando se acumulan kilos de documentos confidenciales, se avisa a la empresa contratada, que en este caso es Saica, que los recoge y los traslada a su planta. Allí los destruye, compacta y destina a su fábrica papelera como materia prima “para un nuevo proceso productivo, garantizando de esta forma la confidencialidad en el proceso y la correcta gestión ambiental”. Así figura textualmente en el certificado de destrucción que se le exige en cada recogida, en la que se especifica la cantidad y la fecha. La última fue el 1 de abril de 2008 y se llevaron 1.070 kilos.

Cuando se trata de material diario, el fiscal jefe explicó que se tritura en las destructoras que existen en las diferentes dependencias o bien se arroja a las papeleras de cada mesa, las cuales deben ser vaciadas por el servicio de limpieza en bolsas y depositadas después en los contenedores propios de la Audiencia. Estos son recogidos después por otra empresa -Garcés Recuperación-, la cual también emite un certificado de que han destruido ese material en sus instalaciones. En el último trimestre del año recogieron 1.810 kilos, y el 3 de marzo se llevaron 3.340.

Documentos de papeleras

Alejandro Fernández, que mostró su agradecimiento porque se pongan de manifiesto los errores del sistema, afirmó que ya ha abierto una investigación para averiguar lo ocurrido, aunque no puede asegurar si dará fruto por la dificultad que entraña probar estas cosas. Lo que ya adelantó es que los documentos procedían de las papeleras de la cuarta planta de la fiscalía, que deberían haber seguido la rutina habitual. Añadió que han hecho todo lo humanamente posible para que el circuito de destrucción funcione correctamente, y que esto ha sido una “disfunción”, de la que no puede hacerse responsable.

Por su parte, la Consejería de Justicia del Gobierno de Aragón no pudo ocultar su sorpresa y preocupación al ser informada por este periódico del hallazgo de este material “sensible” en plena calle. “Nos preocupa bastante, porque estamos hablando de datos personales que afectan a la intimidad y están protegidos por ley”, señalaban desde el Gobierno aragonés.

La administración autonómica se hizo cargo de la competencia de Justicia en enero de 2008, pero sus responsables recuerdan que la organización interna de las sedes judiciales no está entre sus funciones. “Nos corresponde proveer de material a los distintos órganos judiciales, y entre el que hemos entregado durante el primer año de competencias figuran 29 máquinas para destruir papel”, indican desde la DGA. “En cualquier caso -añaden- vamos a interesarnos por lo ocurrido, y si hacen falta más destructoras de documentos, se comprarán”.

Según publica la Asociación para la Protección de Datos Personales de los Consumidores (Consudato) en su web, esta multa resulta de una demanda interpuesta por la entidad contra la SGAE a raíz de una información hecha pública por la propia Sociedad General de Autores en la que aseguraba haber aportado en un juicio un video grabado durante una celebración privada (una boda) sin consentimiento previo.

Según Consudato, este hecho supone una "vulneración clara del derecho de intimidad que todo ciudadano tiene en relación a sus actos en privado", extremo que ha reconocido la Agencia Española de Protección de Datos imponiendo a la SGAE una multa de más de 60.000 euros.

Según informó la organización de consumidores, el informe realizado por el gabinete jurídico de la AEPD indica que el usuario deberá ser informado de la existencia de un fichero de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información, así como de las consecuencias de la obtención de los datos. Además, las emisoras de radiotaxi deberían ofrecer la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición a dicha recogida de datos, aunque sólo se trate del número telefónico del solicitante y de su dirección.

Pero sobre todo el informe especifica que, como regla general, el dato deberá haber sido cancelado una vez concluido el servicio, por lo que no sería posible su conservación y aún en menor medida su inclusión en una lista negra. De esta forma se respeta el principio de conservación recogido en la Ley Orgánica de Protección de Datos de Carácter Personal. En su artículo 4.5 la norma subraya que los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. En este sentido, los datos sólo podrían conservarse si el interesado accediese, explica la AEPD, quien subraya además que la única manera de legalizar el uso de la información para negar el servicio en un futuro es que el usuario sea informado de forma expresa por la emisora acerca de que la prestación de su servicio incluye el aviso a la misma si finalmente decide usar otro vehículo. Es decir, que el usuario debe saber que si opta por no esperar el taxi y no avisa a la compañía se le podría denegar el servicio en adelante.

El portavoz de FACUA, Rubén Sánchez, se mostró satisfecho con el informe elaborado por Protección de Datos, dado que se trata de un problema a nivel nacional, aunque recordó que los únicos antecedentes son del año 2006 en Vitoria y más recientemente en Sevilla y Córdoba, donde se han registrado los casos conocidos hasta el momento sobre estas listas negras de clientes.

Tiempos de espera

Sánchez resaltó la necesidad de que, al tratarse de un servicio público, las autoridades competentes en Consumo o Transportes regulen sus condiciones contractuales y los parámetros de calidad, y volvió a reclamar una regulación sobre la información que las emisoras deben facilitar al usuario en el momento de solicitar un servicio, como el tiempo máximo estimado para la llegada del taxi -a fin de que el consumidor decida si lo quiere o no y la matrícula o número de licencia del vehículo que le recogerá. Asimismo, deberían informar de cualquier incidencia que provoque la demora del taxi para conocer si el usuario desea seguir esperando.

FACUA reclamó que estas compañías se ajusten a la Ley Orgánica de Protección de Datos y rechazó además la pretensión de las emisoras de imponer el cobro del servicio o una penalización a aquellos usuarios que deciden dejar de esperar, argumentando que representa una cláusula abusiva y una situación de claro desequilibrio entre las partes. Así, la organización recordó que no existe ningún tipo de bonificación o descuento en la tarifa cuando es el usuario el que tiene que esperar un plazo excesivo de tiempo.

La primera charla ha sido impartida por Fernando Andreu Royo, de la empresa E&K Pro, que ha abordado varias cuestiones relacionadas con la protecciónde datos en el sector de la discapacidad. Andreu ha explicado como se realiza un proceso de adaptación de esta normativa a las asociaciones y ha respondido a nuemrosas preguntas que han planteado los asistentes. Con esta jornada se pretendçia sensibilizar al pçublico sobre la importancia de esta Ley cuyo escaso conocimiento provoca alguna vez algun susto a las entidades.

Los dos técnicos que han hecho la exposición también han respondido a un buen número de preguntas que el público ha planteado.

La sentencia avala los rastreos informáticos del equipo de Delitos Telemáticos de la Policía Judicial de la Guardia Civil en Internet y anula una de la Audiencia de Tarragona que absolvió de un delito de facilitación de la difusión de material de pornografía infantil a una mujer usuaria de eMule de Pineda (Tarragona).

Ésta realizó búsquedas de archivos y algunos resultaron contener pornografía infantil que borró de su ordenador y que detectó la Policía. La resolución de la sala de lo penal del TS estima el recurso del fiscal contra la referida sentencia, que absolvió a María del Carmen G. tras declarar nula la prueba en que se sustentaba la acusación por estimar vulnerado el derecho al secreto de las comunicaciones.

El Alto Tribunal ordena a la Audiencia de Tarragona que dicte otra sentencia, condenando o absolviendo a la acusada, en la que se tenga en consideración como pruebas legítimas las que declaró nulas.

Para el Supremo "al verificar los rastreos la Policía Judicial estaba cumpliendo con su función de perseguir delitos y detener a los delincuentes que los cometen, siendo legítimos y regulares los rastreos efectuados".

La Guardia Civil en octubre de 2005 aprovechó la celebración en Sevilla del IV Foro Iberoamericano de Ciberpolicias para iniciar búsquedas en Internet rastreando las redes de intercambio de archivos para averiguar aquellos usuarios que descargasen o compartiesen archivos con pornografía infantil.

En base a dichos rastreos realizados sin autorización judicial obtuvieron un listado de claves de acceso que los proveedores de servicios de Internet asignan a cada ordenador en el momento en el que se conecta a Internet que permiten identificar el número telefónico desde el que se produce la conexión.

Dicho listado fue presentado en un juzgado de Sevilla al que reclamaron una orden para que los proveedores de servicios de internet identificasen al titular de las referidas claves. Así, se acordó la entrada y registro en el domicilio de María del Carmen G. y se le intervino su ordenador.

La mujer usaba eMule para obtener archivos de fotografía, música y películas, cuya selección efectuaba introduciendo palabras clave como "bebés", "mamás", "papás", "niñas" o "mamás con bebés", "sin que quede acreditado que pretendiera obtener a través de dichas búsquedas archivos que contuvieran pornografía infantil".

"Quien utiliza un programa P2P, en nuestro caso eMule, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la Policía, datos públicos en Internet, no se hallaban protegidos por el artículo 18-1º ni por el 18-3 de la Constitución", concluye

El pasado lunes fue publicado el Barómetro del CIS (Centro deInvestigaciones Sociológicas) correspondiente al mes de febrero de 2008 en el que se incluyeron apartados relativos a la protección de datos y privacidad. Este documento ha sido valorado hoy por el director de la AEPD, Artemi Rallo, en el marco de un desayuno informativo.

En el documento publicado se refleja una importante preocupación de los ciudadanos por la protección de datos y el uso de información personal por otras personas. El Barómetro destaca que este asunto preocupa bastante al 43,1% de los ciudadanos, y mucho al 27,9 % de los ciudadanos, situándose por delante de asuntos como el avance de la ciencia y la tecnología,el desarrollo de la comunicación e información a través de Internet, y la piratería.

Para el director de la AEPD estos datos reflejan una creciente concienciación de los ciudadanos acerca del valor de su información personal y que éstos intuyen los riesgos que pueden existir en la actualidad si se hace un uso indebido de ellos.

Además, la encuesta del Centro de Investigaciones Sociológicas del mes de febrero recoge que el 52,4% conoce la existencia de una ley que proteja la intimidad personal y familiar de los ciudadanos contra los posibles abusos que puedan producirse con sus datos personales y que el 46,6% asegura tener conocimiento de la existencia de la Agencia española de protección de Datos. En opinión de Artemi Rallo, este dato resulta satisfactorio dado que es una institución joven, de escasamente 15 años de vida y de unas dimensiones limitadas. Además, ha añadido que suponen un avance positivo en relación con los datos publicados en 2003 por el Eurobarámetro en el que se situaba en torno al 70% el grado de desconocimiento de los ciudadanos europeos de la existencia de autoridades independientes encargadas de tutelar su derechos.

La publicación de este Reglamento es en sí una buena noticia, ya que da respuesta a muchas –aunque no todas– de las cuestiones controvertidas que la aplicación de la LOPD ha ido generando. Debemos felicitarnos, en especial, por el hecho de que el reglamento arroje luz sobre una cuestión tan importante en toda norma, y tan debatida en esta materia con sanciones económicas tan elevadas (hasta 600.000 euros), como es el ámbito objetivo de aplicación y su incidencia en el alcance de los datos objeto de tutela bajo la Ley Orgánica. Nos referimos en particular a la exclusión de su ámbito objetivo de los ficheros de datos de contacto profesionales y los datos referentes a los empresarios individuales.

En este punto, el reglamento parte de un principio incuestionable: la normativa de datos personales sólo se aplica a personas físicas. Ahora bien, es sabido que, a pesar de partir de una premisa tan clara, no siempre se han alcanzado las mismas conclusiones. A partir de ahora, la cuestión queda meridianamente clara y en línea con el verdadero objeto de protección de este derecho fundamental: no están sujetos a la LOPD los ficheros que se limiten a incorporar datos de contacto profesionales de las personas físicas que presten sus servicios en las empresas consistentes únicamente en “su nombre y apellidos, las funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales”.

El reglamento también excluye de su aplicación a “los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes”. Por tanto, a partir de ahora, tampoco debería ofrecer dudas el hecho de que no es objeto de la normativa de datos personales la tutela de información relativa a actividades empresariales.

En efecto, en el caso de la persona física que es empresario, la tutela del derecho fundamental de protección de datos personales debe referirse a su esfera privada (íntima o no), pero en ningún caso a su actividad profesional o empresarial, y ello con independencia de que entre la información tratada del empresario individual se encuentren datos que también son identificativos de su persona (como nombre y apellidos o NIF), si esta información la utiliza para intervenir en el mercado. De esta forma, el nuevo reglamento viene a recoger un criterio lógico y que debería estar definitivamente asentado: el hecho de que un empresario individual opere en el tráfico mercantil bajo su nombre y NIF no implica que éstos deban quedar inexorablemente sometidos al ámbito de aplicación de la LOPD. En otras palabras, quien sale al mercado se rige por las reglas del mercado.

Queremos despojar a la Iglesia de su poder de control de los registros La propuesta dio sus primeros pasos el domingo, cuando Pepe Masa, alcalde del municipio madrileño Rivas Vaciamadrid, anunció la creación, en su Ayuntamiento, de un registro de apóstatas, como ocurre con las parejas de hecho.

Según informa el diario, IU planteará cambiar la Ley de Libertad Religiosa de 1980 por una Ley de Libertad de Creencias para "despojar a la Iglesia de su poder de control de los registros, ya que ha decidido no respetar el derecho de apostasía".

Igualmente, propone la posibilidad de un bautismo civil y el ceremonial laico para "acabar ya" con el baño católico que impregna algunos actos oficiales.

El partido dirigido por Gaspar Llamazares afirma que la Iglesia incumple las resoluciones de la Agencia de Protección de Datos en relación a este tema.

La celebración del Día Europeo de Protección de Datos tiene como objetivo principal impulsar el conocimiento entre los ciudadanos europeos de cuáles son sus derechos y responsabilidades en materia de protección de datos, de forma que puedan familiarizarse con un derecho fundamental, que pese a ser menos conocido, está presente en todas las facetas de sus vidas diarias.

El responsable de Organización de EU subrayó que "no es la primera vez que Iniciativa del Poble Valencià realiza envíos a los afiliados de EU sin contar con su consentimiento", actuación que "vulnera la legislación de protección de datos".

Por eso, avanzó que se trasladarán a la Agencia de Protección de Datos "estas actuaciones ilegales". Sixto señaló que los afiliados también tienen la posibilidad de denunciar a título particular que un partido al que no pertenecen posea y utilice sus datos personales.

La formación política subraya que se desconoce el origen de los datos que maneja IdPV, aunque recuerda que "el pasado 13 de septiembre se produjo el robo de la base de afiliados de la sede de EU", hecho que fue denunciado ante la Policía.

El responsable de organización de EU amplió este martes la denuncia comunicando el envío masivo de correos electrónicos desde IdPV, "por si tuviera alguna relación con la sustracción de la base de datos".

Además, el partido ha exigido a Carles Mulet, miembro de IdPV y hasta hace unos días trabajador de EU, que devuelva el listado de direcciones electrónicas de afiliados y simpatizantes de EU en la comarca de Castellón, que "está utilizando indebidamente para enviar informaciones de Iniciativa". "Si el ex trabajador no responde al requerimiento, se iniciarán actuaciones legales al respecto", dijo.

Ricardo Sixto considera que "estas actuaciones son una muestra más del desprecio de los dirigentes de Iniciativa por las normas legales".

Según el estudio de Risc Security, el 96% de las empresas del ámbito jurídico encuestadas declaran conocer bien las leyes de protección de datos debido a su actividad laboral, aunque el 73% reconoce que no la cumplen en algunos de sus aspectos. Asimismo, el 82% tiene sus datos informatizados aunque sólo el 46% de las entidades informatizadas hacen copias con regularidad, al menos una vez por semana. De éstas, sólo un 13% externaliza las copias tal y como pide el Real Decreto 994/1999.

En términos globales, el 89,4% de los abogados no cumplen con las leyes relativas a la protección de datos y sólo el 10,6% externalizan y encriptan las copias de datos.

La mayoría de las empresas analizadas en este estudio de Risc Security, reconocen que en caso de robo o pérdida de sus dispositivos, la información de sus clientes contenida en ellos sería accesible por cualquier persona ajena ya que no están encriptadas y no emplean ningún sistema de seguridad . Su única barrera de protección es la contraseña de acceso que emplea su software informático. Esto se muestra con el 71% que reconoce que su negocio estaría en problemas graves o muy graves en caso de pérdida de los datos.

En lo que respecta al sector sanitario, el 74% declaró conocer las leyes relativas a la protección de datos, de los que el 91%, aseguran cumplirla en su totalidad. Sin embargo, el estudio muestra que estas afirmaciones del colectivo no son ciertas puesto que el 92% no externaliza su información por lo que no la cumplen en materia de seguridad de la información.

Aproximadamente la mitad de los encuestados de este sector (50,38%) tienen sus datos informatizados siendo el 42% el que toma medidas para hacer copias al menos una vez al mes. De los que hacen copias, solo el 41% las externalizan, lo que significa que solamente un 17% del total cumplen realmente con la LOPD.

Sobre el total de los encuestados, sólo el 8% de los médicos cumplen las cláusulas pertenecientes a la ley de protección de datos y de las empresas que tienen los datos informatizados, el 63% reconoce que su negocio estaría en problemas graves o muy graves en caso de pérdida o robo ya que la información de sus pacientes es crítica para su negocio.

La práctica de cobrar por la música que suena en este tipo de celebraciones es lícita. Así lo decretó hace casi dos años una juez en Alicante, al no tratarse de un acto estrictamente privado. Algo que se extiende a comuniones y bautizos. La forma de recabar datos para la posterior recaudación es lo que ha abierto un nuevo frente de discusión, que la justicia acaba de cerrar con un fallo a favor de la entidad de gestión. El pleito comenzó cuando la SGAE, con el fin de exigir los derechos de autor a un salón de celebraciones vía judicial aportó como prueba, entre otras, un vídeo del enlace entre Miguel ángel y María del Carmen. Sin embargo, la prueba fue declarada nula y archivada por el juzgado de lo Mercantil de Sevilla al considerarla «una clara violación del derecho constitucional a la intimidad y a la propia imagen», sobre todo por haber sido realizado «a escondidas, cuando la celebración estaba ya avanzada». La grabación fue realizada por un detective sin permiso de los contrayentes.

Aunque la SGAE ganó el juicio, la presentación de esta prueba le valió una demandada cursada por la Asociación para la Protección de Datos Personales de los Consumidores (Consudato) por la presunta comisión de una infracción del artículo 6.1 de la Ley Orgániz 15/1999 de Protección de Datos de Carácter Personal (LOPD), que establece que «el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado», algo que no se cumplió de ninguna manera. Ahora, y tras un proceso de investigación, la Agencia Española de Protección de Datos ha procedido al archivo del procedimiento sancionador contra la SGAE.

El principal punto de conflicto se encontraba en el mencionado artículo 6.1. que dice lo siguiente: «El tratamiento de los datos de carácter personal requerirá el consentmiento inequívoco del afectado, salvo que la Ley disponga otra cosa». Esta coletilla, es la que ha terminado por inclinar la balanza en favor de la SGAE. Según la resolución presentada por la Agencia Española de Protección de Datos, con fecha 12 de diciembre, «el legislador ha creado un sistema en que el derecho a la protección de datos de carácter personal cede en aquellos supuestos en que el propio legislador (constitucional u ordinario) haya considerado la existencia de motivos razonados y fundados que justifiquen la necesidad del tratamiento de los datos».

Entre esos motivos, se refiere a que esa necesidad de recibir el consentimiento para realizar la grabación supondría un obstáculo y dejaría en manos de terceros, «el almacenanimiento de la información necesaria para que la Sociedad General de Autores y Editores pueda ejecer, en plenitud, su derecho a la tutela judicial efectiva». Por tanto, la imposibilidad de conseguir estos datos, «puede implicar, lógicamente, una merma en la posibilidad de aportación por el interesado de los medios de prueba pertinentes para su defensa».

La AEPD y la CLI promoverán la concienciación de los menores sobre el valor de sus datos personales en el ámbito de las nuevas tecnologías

• La Agencia Española de Protección de Datos y la Comisión de Libertades e Informática han suscrito hoy un Convenio de colaboración para el desarrollo del proyecto CLI – PROMETEO.

• El objetivo es fomentar entre los menores el uso compatible de las nuevas tecnologías con la protección de datos y concienciarles sobre los riesgos que puede conllevar facilitar sus datos personales.

(Madrid, 17 de diciembre de 2007). La Agencia Española de Protección de Datos y la Comisión de Libertades e Informática han suscrito hoy un Convenio de colaboración destinado a impulsar la educación y concienciación, en centros escolares, entre menores y adolescentes sobre el valor de sus datos de carácter personal y de los riesgos que puede conllevar facilitarlos, en el ámbito de las nuevas tecnologías.

La firma del Convenio, que ha corrido a cargo del director de la Agencia Española de Protección de Datos, Artemi Rallo, y del presidente de la Comisión de Libertades e Informática, Antonio Farriols, tiene como objetivo el impulso y desarrollo del proyecto denominado CLI – PROMETEO, que cuenta ya con la colaboración del Ministerio de Industria, Turismo y Comercio.

La finalidad de este proyecto es la realización de una campaña de divulgación destinada a la educación de los jóvenes sobre el uso compatible de las nuevas tecnologías con la protección de datos de carácter personal, instruyéndoles en los riesgos que puede conllevar facilitar datos y su responsabilidad a la hora de proteger su información personal, y sensibilizándoles del valor de sus datos de carácter personal y de sus derechos en la materia.

Así figura en un informe, publicado hoy, en el que se recogen las principales observaciones de la AEPD en relación con la adecuación a la normativa española de protección de datos de las políticas de recogida, conservación y uso de datos personales de los buscadores.

Mediante este informe, la AEPD, para cuya elaboración ha requerido información a tres de los principales motores de búsqueda de Internet, -Google, Yahoo y Microsoft- constata que existen diferencias significativas en las políticas de privacidad de los buscadores.

Esas diferencias se dan principalmente en aspectos como los criterios de conservación de datos personales y las políticas informativas, que, según la AEPD, es preciso aproximar hacia los extremos más garantistas para que se minimicen los riesgos para la privacidad de los usuarios. Los buscadores de Internet tratan y retienen grandes volúmenes de datos de los usuarios a los que ofrecen sus servicios, que se consideran personales bajo la Ley Orgánica de Protección de Datos, y por ello su tratamiento requiere que exista pleno conocimiento por parte de los usuarios.

Además, según el informe, sólo pueden ser conservados con unas finalidades concretas -como son la mejora del servicio, la seguridad del propio sistema de búsqueda o la lucha contra el fraude-.

En relación con los periodos en que los datos personales son conservados, la Agencia llama la atención sobre el hecho de que las políticas de los buscadores no coincidan en los plazos de conservación oscilando, dependiendo de la entidad, entre 13 y 18 meses.

En este sentido destaca la necesidad de limitar el periodo de retención, de modo que una vez que la información deje de ser necesaria para las finalidades propias del servicio, sea cancelada.

Asimismo indica que, a partir del momento en que los fines que justifican el uso de los datos puedan conseguirse sin identificar a un usuario específico, deberá procederse a hacerlos anónimos, de forma que la información que se conserve no pueda vincularse a usuarios concretos.

Por otra parte, el informe alude también a los datos de personas que, a pesar de no ser usuarios del servicio de búsqueda, pueden ser conocidos por cualquiera a través de las páginas de resultado de la búsqueda.

Sobre este ámbito, la AEPD destaca que los servicios de búsqueda están obligados a respetar las solicitudes de cancelación y oposición de personas cuyos datos aparecen como resultado al realizar una búsqueda.

La Ley Orgánica 4/1997, de 4 de agosto, regula la utilización de las videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, advirtiendo expresamente que tiene el propósito de fijar las garantías precisas para que el ejercicio de los derechos y libertades reconocidos en la Constitución sea máximo y no se vea perturbado con un exceso de celo en la defensa de la seguridad pública. Los principios de idoneidad e intervención mínima sirven para urdir en esta Ley la trama fronteriza entre la libertad y sus límites. Pero esta norma se ciñe a las captaciones obtenidas por videocámaras en espacios públicos, abiertos o cerrados, realizadas por los cuerpos y fuerzas de seguridad. No se trata, por tanto, de una norma integral que pretenda dar un tratamiento completo a las captaciones audiovisuales con fines de vigilancia en espacios públicos o privados, siendo su objeto limitado. Tal Ley integral no existe.

En su ausencia, ha sido precisamente en el ámbito específico de la protección de datos personales donde las Administraciones competentes (Agencia Española de Protección de Datos y Agencia de Protección de Datos de la Comunidad de Madrid) han tratado de suplir a través de sus Instrucciones ese vacío normativo. Pero esta respuesta desde el poder público es claramente insuficiente. Los límites de las libertades civiles, aún estando justificados, no pueden ser establecidos por la Administración, aunque a esa Administración se la califique de independiente del poder político representado por el Gobierno. Ello sin perjuicio de que se le puedan conferir facultades de concreción en la ejecución de la Ley. En un sistema democrático sólo la Ley, como expresión máxima de la soberanía, ponderando los bienes jurídicamente protegidos y respetando el principio de proporcionalidad, podrá autorizar, al menos en sus líneas esenciales, el establecimiento de medidas restrictivas de un derecho fundamental. Y será también la Ley la que determine el punto de equilibrio entre la renuncia a una cierta cantidad de libertad a cambio de alcanzar una mayor seguridad y confort social. Para los jueces reservamos la tutela última de tales derechos y libertades.