Asociación Española Destrucción Confidencial de Información

eco-Shredder es miembro de ADCI Asociación Española Destrucción Confidencial de Información, asociación que fue creada para asegurar las buenas prácticas de la destrucción de documentos.

Esta asociación además de velar por la seguridad de todos los ciudadanos y empresas, ya que controla y promueve la profesionalidad y la ética sobre el proceso de destrucción de documentación y datos privados y personales, también garantiza que las empresas miembros tienen todas las garantías de seguridad y protección, para poder desarrollar su trabajo de manera profesional y con la certificación de la total destrucción de la documentación.

Además ADCI colabora con otras entidades y asociaciones con el fin de fortalecer el sector y ofrecer una imagen profesional que se adapte a las necesidades que tienen las empresas de proteger sus datos y los de sus clientes.

eco-Shredder ©

Diez consejos para ayudar a sus empleados a buscar contraseñas seguras para sus ordenadores

¿Sabe cuántas contraseñas informáticas utilizan la fecha de nacimiento, el nombre de un hijo del usuario o simplemente son “123456”? Miles, millones de ellas. Como bien saben los hackers, son algunas de las más socorridas a la hora de elegir contraseñas y, por lo tanto, más fáciles de averiguar. Por ello, conviene que dé a sus trabajadores algunas pautas para que escojan contraseñas seguras, que impidan que usuarios no autorizados puedan acceder a sus equipos. Éstas son algunas de ellas:

• Evitar palabras que aparezcan en el diccionario.

• Que tengan al menos ocho caracteres.
• No emplear sólo letras o sólo números, sino combinar letras y números e incluso incluir símbolos y mayúsculas y minúsculas.

• Que la “contraseña” sea distinta del “usuario”.

• No utilizar como contraseña el propio nombre o apellidos ni los nombres de los hijos ni de la mascota.

• No utilizar el número del NIF, la matrícula del coche ni otras numeraciones íntimamente relacionadas con uno mismo y de conocimiento público.

Y además:

• No compartirlas con otros compañeros ni revelarlas.

• No escribirlas en un post-it pegado a la pantalla del ordenador.

• No guardarlas en el mismo ordenador en un archivo de fácil acceso ni nombre evidente (por ejemplo “contraseñas”).

• No utilizar la misma contraseña para distintos usos (para evitar que, si se descubre una, quien lo haga pueda acceder a toda la información restringida).

eco-Shredder, empresa especializada en la destrucción de documentos confidenciales in situ.

La voz es un dato personal

La voz es considerada como un dato de carácter personal y por tanto su tratamiento está protegido por la Ley Orgánica de Protección de Datos. Sin embargo, la Agencia Española de Protección de Datos se declara incapaz técnicamente de tutelar los derechos de los afectados relacionados con su voz toda vez que no es “experto o técnico en cuanto a procedimientos de reconocimiento de voz”.

Con la entrada en vigor del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, se introdujo en un texto normativo, la naturaleza de la voz como dato de carácter personal. Así, el artículo 5.1.f define como dato de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

La nota de “información acústica” está pensada especialmente para la voz, pero a mi juicio la voz no sería el único dato de carácter personal acústico, piénsese por ejemplo en el ruido característico que una persona puede hacer al andar, que permita identificarlo de entre un grupo concreto, o una risa especialmente estruendosa, etc.

Pues bien, como dato personal que pretende ser la voz, se encuentra bajo el manto protector de la Ley Orgánica de Protección de Datos (LOPD) de la misma manera que si lo que protegemos es un número de DNI o un número de cuenta corriente bancaria.

Pero nos encontramos con un problema peculiar: a la hora de que la Administración correspondiente, en este caso la Agencia Española de Protección de Datos (AEPD), tutele nuestros derechos en relación, por ejemplo, a la utilización de nuestra voz sin el correspondiente consentimiento ¿cómo verifica la AEPD que efectivamente la voz utilizada sin consentimiento pertenece al afectado o interesado?

En otras palabras, si yo denuncio que un tercero ha utilizado mi voz sin mi consentimiento ¿podrá la AEPD tutelar mis derechos?

En principio no lo tendremos fácil.

La AEPD ha declarado en el Recurso de Reposición 00279/2010 (donde se realizaba, presuntamente, una usurpación de personalidad mediante voz) que la AEPD “no es experta o técnica en cuanto a procedimientos de reconocimiento de voz, cuestión que ha de ser ventilada por un experto forense en el seno de un procedimiento judicial.”

En el Recurso de Reposición mencionado, se aportó como prueba de que la voz había sido suplantada UN ACTA NOTARIAL, donde el notario afirmaba que: “a mi juicio, escuchando al mismo tiempo la voz de la requirente y la grabación, no pertenece a Doña A.A.A. la voz que escucho de la grabación”.

Esto es, el notario (federatario público) afirma que la voz no es la misma, pero para la AEPD eso no es suficiente.

Para la AEPD, es necesario acudir a un experto forense en esta materia dentro de un procedimiento judicial, y tal como y le dice a la señora que presuntamente le suplantaron su voz: “Una vez que recaiga resolución judicial en el precitado procedimiento declarando que se ha producido la efectiva suplantación de personalidad denunciada, podrá la recurrente formular nueva denuncia ante esta Agencia si la infracción no ha prescrito.”

Es decir, la solución que la AEPD ofrece a esta señora es:

1º: Vete a un juicio por suplantación de personalidad, donde un forense analice la voz suplantada y demás.
2º: Obtén una sentencia estimatoria en ese sentido (que la voz de la grabación no es tu voz)
3º: Ahora ya nos presentas denuncia ante nosotros, y si la infracción no ha prescrito (cosa difícil) entonces analicemos el caso.

La conclusión a la que yo llego, es que, si no ha bastado un acta notarial, nos encontramos que la voz es un dato sin tutela por parte de la AEPD. Pero además de esto, y a la luz de las declaraciones de la AEPD ¿realmente podemos entender la voz un dato personal? Si es necesario acudir a un experto forense que analice las pruebas, compare y demás, para IDENTIFICAR el titular de esa voz, ¿podemos realmente concluir que la voz es un dato de carácter personal si es tan complicado identificar a la persona física titular de la misma?

eco-Shredder, empresa especializada en la destrucción de documentos “in situ”.

Facebook: Modificaciones en la legislación de protección de datos.

El gobierno alemán aprobó el proyecto de ley relativo a la legislación de protección de datos, tras dicha modificación de la legislación en Alemania de protección de datos, se prohibirá a las empresas hacer uso de los datos personales de los empleados o candidatos contenidos en redes sociales de uso personal. Dicha normativa se prevé que entrará en vigor en 2011.

El objetivo de esta modificación es no permitir o al menos restringir la práctica cada vez más común en las empresas y en los departamentos de selección de personal de obtener información e indagar a cerca de datos personales de los candidatos a través de las redes sociales como pueden ser facebook o twitter, sin embargo si sería lícito hacerlo en páginas de carácter profesional, como linkedin.

El problema que surge es como demostrar o probar cuándo la empresa utiliza esta información “personal” para rechazar una candidatura alegando motivos que no tienen nada que ver con la realidad, asi mismo resulta difícil demostrar que la empresa ha procedido a un “despido injusto” teniendo como causa dicha intromisión en la red social del empleado. Serían en ambos casos generación de situaciones injustas. Así mismo el proyecto de ley establece la prohibición de cámaras ocultas en el lugar de trabajo sin el consentimiento de los empleados a no ser que sea por motivos razonables, como la protección del material de la empresa, sin embargo estará prohibido en zonas como aseos y vestuarios, por considerarse lugares privados.

En caso de infracción por parte de las empresa, hay que contemplar las sanciones que se imponen, pudiendo llegar hasta 300.000 €.

eco-Shredder, empresa especializada en la destrucción de documentos confidenciales in situ.

Protección de Datos tutelará el acceso a la información pública

Sólo funcionarios de la AEPD investigarán

El anteproyecto de Ley de Transparencia y Acceso de los Ciudadanos a la Información Pública, sobre el que actualmente trabaja el Gobierno, atribuye a la Agencia Estatal, dirigida por Artemi Rallo, la competencia para decidir sobre si son procedentes o no lo son las negativas de los órganos de la Administración a facilitar los datos o documentos que les han solicitado los ciudadanos.

La Agencia Española de Protección de Datos (AEPD) será la encargada de vigilar a las Administraciones Públicas y de la protección del derecho de acceso de los ciudadanos a la información oficial, según regula el anteproyecto de Ley de Transparencia y Acceso a la Información Pública de los Ciudadanos, que será aprobado antes de que termine el año y enviado a los órganos consultivos (Consejo de Estado, Consejo Económico y Social, etc.).

Con la entrada en vigor de esta nueva ley recibirá nuevas dotaciones de competencias y un cambio de denominación, pasando a llamarse Agencia Española de Protección de Datos y Acceso a la Información.

De esta forma, el Gobierno sitúa en el fiel de la balanza a una institución pública, que orgánica y funcionalmente se ha ganado la definición de independiente, para arbitrar una figura legal de la que España era de los pocos países comunitarios en carecer de ella, junto a Luxemburgo, Malta y Chipre.

En los últimos años, tal y como ha venido denunciando el catedrático de Derecho Administrativo y ex director de la AEPD, José Luis Piñar, se ha venido poniendo como excusa la protección de datos para impedir el acceso de los ciudadanos a la información que obra en poder de los poderes públicos.

De esta forma, se han podido poner trabas en los últimos años a que los ciudadanos pudieran conocer detalles de operaciones urbanísticas especulativas y corruptas, de contratos adjudicados a dedo, de las retribuciones reales de quienes tienen responsabilidades públicas, denunciadas por los medios de comunicación y que colapsan actualmente los tribunales españoles.

El anteproyecto se basa en el principio de que el derecho de acceso de todos a la información pública es la regla en un país democrático, y que debe ser tutelada por una entidad pública independiente que tutele y garantice la efectividad del derecho.

A la AEPD, dirigida en la actualidad por el catedrático de Derecho Constitucional Artemi Rallo, se le plantea con esta nueva normativa el gran reto de compatibilizar su actual función de defensa de la privacidad, lo que supone el impedir el acceso a determinadas informaciones, con la custodia del derecho al acceso a la información pública.

Si bien, las informaciones de la Administración estatal no deberían presentar mayores dificultades, fuentes del Ministerio de la Presidencia consultadas indican que el mayor problema se dará en las comunidades autónomas, que cuentan con normativas contradictorias, y en los ayuntamientos donde se da una gran resistencia a facilitar datos, fundamentalmente basándose en la confidencialidad de las informaciones y en la privacidad de los datos.

Acceso sin interés directo

La Ley incluye dentro de la información pública la que se ha elaborado o adquirido por los poderes públicos o entidades que presten servicios públicos y que obre en su poder, cualquiera que sea el formato en que se encuentre.

Las solicitudes de información deberán dirigirse al órgano o entidad en cuyo poder se encuentre la información y serán resueltas por el órgano competente, según las normas de funcionamiento de cada organismo.

Todas las personas tendrán derecho a acceder a la información pública que deseen con una simple solicitud al Departamento que corresponda y no será preciso acreditar un interés legítimo o directo en el conocimiento de la información que demanden.

En cambio la normativa impondrá al poder público el deber de motivar, de acuerdo con el principio de proporcionalidad, la negativa a hacer accesible la información solicitada por concurrir alguna de las limitaciones que prevé la propia Ley.

Procedimiento para reclamar

El solicitante de información y las terceras personas afectadas por la solicitud podrán reclamar contra las resoluciones emitidas por la Administración o las entidades dependientes o vinculadas.

Esta reclamación sustituirá al recurso de reposición , al amparo de lo previsto en el artículo 107.2 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Y el plazo máximo para reclamar será de 30 días .

Una vez recibida la reclamación, la AEPD será la encargada trasladar al órgano correspondiente para que remita las alegaciones en un plazo máximo de diez días, cumplido el mismo, el director de la AEPD deberá emitir una resolución antes de dos meses.

Si la resolución es estimatoria, el director de la AEPD deberá indicar la modalidad de acceso y el plazo para que el acceso se haga efectivo. En caso de falta de resolución en plazo se considerará denegada.

Protección de la intimidad

Uno de los objetivos fundamentales de esta futura norma es la protección de la intimidad de los ciudadanos. No obstante, las solicitudes de acceso a la información pública que contenga los datos personales se regirán por lo dispuesto en esta ley. No obstante, cuando se trate de datos personales referidos exclusivamente al propio solicitante, la normativa aplicable será la de protección de datos personales.

Las solicitudes de acceso que contengan datos íntimos o que afecten a la vida privada se denegarán, salvo que exista consentimiento expreso y por escrito del afectado.

Cuando sea posible, se facilitará la información dando carácter anónimo a sus protagonistas y evitando datos identificativos e, incluso, se permitirá el acceso parcial a la información solicitada, omitiendo la parte vedada, salvo que de ello resulte una información distorsionada o carente de sentido.

A estos efectos, el anteproyecto define los datos íntimos como los referidos a la ideología, afiliación sindical, religión, creencias, origen racial, salud y sexualidad.

Sí que se facilitará la información que contenga datos personales sin carácter de íntimos cuando esté vinculada con la organización, funcionamiento y actividad pública del órgano o entidad al que se solicite.

Si la información solicitada afecta a terceras personas, se les dará traslado de la petición para que, en un plazo de 20 días, aleguen si permiten el acceso, aunque sin revelarles la identidad del solicitante. El proceso se puede prolongar hasta tres meses.

Organismos excluidos

La Ley no se aplicará a la información generada por los órganos del poder legislativo o judicial (Parlamento, Consejo General del Poder Judicial y Tribunales), que se rigen por sus propias normas, como también, el Tribunal Constitucional y el Tribunal de Cuentas.

En la misma línea se mantendrá la aplicación de la propia normativa para el acceso a los secretos oficiales; Registro Civil; Registro de la Propiedad; Registro Central de Penados y Rebeldes; estadística pública; censo electoral; padrón municipal; información sanitaria y, en general, aquellas materias que tengan un régimen legal específico de acceso a la información para las personas.

También fundamentada en los principios de seguridad pública e interés general se excluye en el anteproyecto la información pública que se encuentre en curso de elaboración o publicación general, la que requiere una previa reelaboración y, en general, la meramente auxiliar y de apoyo para el ejercicio de la actividad pública, como borradores, opiniones, informes y comunicaciones internas, que no tienen carácter oficial y no formen parte de un expediente.

Finalmente, la Administración podrá negar el acceso cuando las solicitudes se consideren abusivas por su carácter manifiestamente irrazonable o repetitivo, que no esté justificado por la finalidad de transparencia de esta futura ley, como ocurrirá con las demandas con fines comerciales.

No obstante, no sólo se trata de fomentar la transparencia a solicitud de los ciudadanos sino también se prevé que la Administración impulse por su propia iniciativa las medidas de publicidad activa.

Plazos para responder

El texto del anteproyecto en el que actualmente trabaja el Gobierno regula que las resoluciones sobre las solicitudes de acceso no podrán superar los 30 días (ahora son tres meses), salvo cuando afecten a derechos o intereses de terceros o se solicite a una Administración que posea esa información, pero que haya sido remitida por otra Administración. En éste último caso, se deberá solicitar la autorización de la Administración autora.

En los casos en que el volumen o la complejidad de la información solicitada hagan imposible el cumplimiento del plazo máximo de 30 días, éste se podrá ampliar en otros 30 días más, informando al solicitante en los diez días siguientes a la presentación de la solicitud de acceso a la información.

Si en el plazo, máximo previsto para resolver y notificar no se hubiese recibido resolución expresa, el ciudadano deberá volver a realizar su solicitud con carácter confirmatorio antes de diez días ante el mismo órgano. De no hacerlo así, se dará por desistido. Si en 30 días no existe resolución expresa, se entenderá aceptada la solicitud.

Cuando se realice una solicitud y la información ya se haya difundido y el solicitante pueda acceder a ella fácilmente podrá optarse por informar al solicitante a cerca de donde puede acceder a dicha información.

Se ordena a la Administración el fomento de la Red de oficinas de atención integral al ciudadano (Red 060) y a los ministerios que mantengan permanente actualizadas y a disposición de los ciudadanos toda la información sobre su estructura, procedimientos administrativos, derechos de acceso y medidas de publicidad activa.

Costes de las consultas

El acceso in situ a la información será gratuito, salvo en el caso de los archivos, bibliotecas y museos, se cumplirá atenderá a su legislación específica.

Sin embargo, la expedición de copias y la transposición a formatos diferentes al original en que se contenga la información podrá ser sometida al pago de una cantidad que no deberá exceder de sus costes.

La AEPD para los pies a Hacienda a la hora de investigar a médicos

Cuando un inspector de Hacienda esté investigando a un profesional médico y le solicite, en el marco de la investigación, la historia clínica y los resultados de las pruebas médicas de sus pacientes, puede negarse a facilitarlas. Es más, no sólo “puede”, sino que “debe” oponerse a facilitar esa información.

Por un lado, y según impone la normativa fiscal, las personas físicas o jurídicas están obligadas a proporcionar a la Administración tributaria “toda clase de datos, informes, antecedentes y justificantes con trascendencia tributaria relacionados con el cumplimiento de sus obligaciones tributarias” (art. 93.1 de la Ley General Tributaria). Además, los inspectores realizan su trabajo mediante el examen de documentos, libros, contabilidad, ficheros, facturas, justificantes, correspondencia, bases de datos, programas, registros y archivos informáticos, bienes, etc. (art. 146 de la misma ley).

Desde esa libertad que tienen los inspectores para mirar y remirar en busca de fraudes, la Agencia Tributaria planteó a la Agencia Española de Protección de Datos (AEPD) si también podían inspeccionar libremente las historias y pruebas clínicas de pacientes a los que los médicos inspeccionados hayan intervenido.

Y la AEPD le ha parado los pies. La historia clínica contiene información del máximo nivel de protección, y su uso y acceso está regulado en una ley específica (la Ley 41/2002, reguladora de la autonomía del paciente). Esta norma deja muy claro que sólo los profesionales del centro que atienden al paciente pueden tener acceso a su historia clínica sin el consentimiento expreso de esa persona como instrumento esencial para su asistencia (aparte de los jueces o tribunales con fines judiciales o el personal sanitario que ejerza funciones de inspección, y aún así con estrictas limitaciones).

En ningún caso tiene cabida en la normativa de protección de datos el que sin el consentimiento de los pacientes los inspectores de Hacienda puedan acceder libremente a las historias clínicas con el objetivo de controlar el cumplimiento de la normativa fiscal por parte de los médicos, según acaba de decir la Agencia Española de Protección de Datos. La AEPD asegura que los médicos sólo tendrán que facilitar a los inspectores “información con trascendencia tributaria”, lo que no es el caso de las historias clínicas.

eco-Shredder, empresa especializada en la destrucción de documentos “in situ”.

Luz verde a la Autoridad de Protección de Datos de Catalunya

El Pleno del Parlament ha aprobado la Ley de la Autoridad de Protección de Datos de Catalunya. Esta norma configura el nuevo organismo como la autoridad independiente que debe garantizar el derecho a la protección de los datos de carácter personal en el ámbito de las competencias de la Generalitat.

La Autoridad de Protección de Datos de Catalunya (APDC), que sustituye la Agencia Catalana de Protección de Datos, creada en 2002, se adapta a las nuevas disposiciones que respecto a la protección de datos de carácter personal hace el Estatuto de Autonomía de Cataluya de 2006, e introduce varias mejoras técnicas fruto de la experiencia de estos últimos años. El objetivo principal es reforzar la independencia y objetividad.

eco-shredder, empresa especializada en la destrucción de documentos confidenciales “in situ”.

Protección de Datos multa con 60.000 euros a la SGAE por grabar una boda sin permiso

La Agencia Española de Protección de Datos ha multado con 60.101 euros a la Sociedad General de Autores y Editores (SGAE) por grabar sin permiso una boda en Sevilla y aportar el vídeo a un juicio, lo que constituye “una clara violación del derecho constitucional a la intimidad y a la propia imagen”.
Protección de Datos , considera que la SGAE incurrió en una infracción “muy grave”, pues grabó un acto privado como es un banquete de bodas, sin la “autorización inequívoca” de los interesados, como exige la ley.
La SGAE, en el contexto de su política para cobrar derechos de autor, contrató a un detective, que se coló en una boda en el restaurante “La Doma” de San Juan de Aznalfarache (Sevilla) y grabó a los invitados bailando al ritmo de canciones protegidas.
El salón de bodas fue condenado a pagar 43.179 euros de canon musical en base a otras pruebas periféricas, ya que la sentencia del juzgado de lo Mercantil sevillano declaró nulo el vídeo porque constituía “una clara violación del derecho constitucional a la intimidad y a la propia imagen”, al ser la boda un “acto privado y reservado”, y más aún cuando la grabación se ejecutó “a escondidas, cuando la celebración estaba ya avanzada”.
Al conocer la sentencia, la Asociación para la Protección de Datos de los Consumidores (Consudato) denunció los hechos a la Agencia de Protección de Datos, que ha sancionado a la SGAE con una multa de 60.101 euros.
La resolución dice además que la actuación del detective vulneró la Ley de Seguridad Privada, que prohíbe a esos profesionales usar en sus investigaciones “medios técnicos que atenten contra el derecho al honor, a la intimidad y a la propia imagen”.
La SGAE contrató a un detective que se coló en la boda para grabar
En su defensa, la SGAE alegó que se limitó a contratar al detective sin decidir sobre los medios que debía utilizar para conseguir pruebas, y que la filmación no pretendía generar un fichero de datos personales, que es el aspecto protegido por la ley.
La resolución recuerda que los contrayentes declararon no haber autorizado a la SGAE a filmar su boda y que, pese a ello, la novia aparece en varios momentos de la grabación.
La ley, según la resolución, exige el “consentimiento inequívoco del afectado” para la captación o tratamiento de sus datos personales, definidos como “toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, tratamiento o transmisión y concerniente a una persona física identificada o identificable”.
Por su parte, Consudato ha elevado otra denuncia similar ante Protección de Datos porque la SGAE ha vuelto a presentar una demanda judicial contra otro salón de bodas, en este caso “El Vizir” de Espartinas (Sevilla) con el apoyo del vídeo de un detective.
El detective “se introdujo en la boda simulando ser invitados y ocultando la cámara de vídeo” ya que dicho recinto “no estaba abierto al público sino solo a unas personas determinadas”.
Consudato afirma que se trata de una infracción “muy grave” pues la prueba se consiguió “de forma engañosa y fraudulenta” y además constituye “una reiteración en una actuación ya sancionada por Protección de Datos”.

eco-Shredder, empresa especializada en la destruccion de documentación confidencial in situ.

Currículums en la calle ¿cuándo empieza el cómputo de la prescripción?

La Guardia Urbana de Barcelona localiza diversa documentación abandonada en la calle, entre la que encuentra unos 100 currículums vitae con datos personales. Algunos de esos documentos (unos 35) incluyen además una ficha de la entrevista personal llevada a cabo entre el candidato y el entrevistador (con anotaciones referidas a la impresión causada y a su disponibilidad).

Tras la denuncia de la Guardia Urbana, la AGPD (PS/00525/2008, R/00474/2009) inicia un proceso sancionador, destacandose que en el momento de los hechos el responsable no disponía de documento de seguridad, lo que añadido a la presencia de los currículums en la calle, lleva a la AGPD a imputarle la infracción de dos deberes, el de seguridad (art. 9 LOPD) y el de secreto (art. 10 LOPD).

Una cuestión interesante que se discute entre el responsable del fichero o tratamiento y la AGPD es en qué momento empieza el cómputo de la prescripción de las infracciones, si debe iniciarse cuándo se produce el vertido de la documentación en la vía publica (argumento del responsable), o bien, tratándose de una infracción continuada, la misma comienza cuándo dicha documentación es depositada en la calle a la vista de terceros y finaliza en el momento en que la Guardia Urbana localiza las carpetas.

La AGPD se decanta por esta segunda tesis ya que se trata de una infracción permanente (citando la SAN 3-12-2008) con lo que la alegación de prescripción del responsable finalmente no prospera.

La AGPD expone además que el responsable debió adoptar las medidas de seguridad necesarias para impedir cualquier recuperación posterior de la documentación, medidas que no fueron tomadas (art. 44.3.h LOPD, infracción grave de seguridad) y que con su conducta, el responsable tambien vulneró el deber de confidencialidad, que tiene como finalidad evitar que quienes están en contacto con los datos personales, realicen filtraciones de los mismos no consentidas por los titulares de los mismos (art. 44.3.g LOPD).

Dado por tanto que el responsable quebrantó dos deberes (seguridad y secreto) y que ambas infracciones son de caracter grave, por aplicación del art. 4.4 del RD 1398/1993 (reglamento de procedimiento de la potestad sancionadora) las dos se subsumen finalmente en una sola (en este caso, infracción del deber de seguridad, art. 9 LOPD).

La sancion que se impone al responsable es de 4000 euros, importe inferior al habitual en estos casos, al haber ponderado la AGPD diversas circunstancias concurrentes que justifican la reducción del importe de la misma (por aplicacion del art. 45.5 LOPD) como son, por una parte, la existencia de un cambio de titularidad en la empresa meses antes del vertido y tambien por el hecho que la empresa estaba en periodo de cambio de sistemas de informacion, uno de cuyos motivos era precisamente, adaptarse a la LOPD.

eco-Shredder, empresa especializada en la destrucción de documentos confidenciales in situ”.

La Agencia de Protección de Datos insta al Provincial a que mejore su seguridad

La resolución llega tras una queja por el robo de un lápiz de memoria del Hospital en el que aparecían datos personales y nóminas de los empleados.

La Agencia Española de Protección de Datos ha instado al Servicio Aragonés de Salud y al Hospital Provincial a que “implante todas las medidas de seguridad que se requieren legalmente”, a raíz del robo de un lápiz de memoria en el que aparecían datos personales y nóminas de algunos de los empleados.

La agencia recibió un escrito de una particular, que se dirigió a este organismo después de que se publicara el robo, que se produjo el 22 de marzo de 2009 y que fue denunciado dos días después. Entonces, según el informe publicado el pasado 2 de julio, la Agencia inició una serie de actuaciones previas.

En ellas, relatan que el Salud tenía ese lápiz de memoria para llevarlo a una entidad bancaria que realizaba los pagos de las nóminas. En el documento figuraba el nombre, los apellidos, el código de la cuenta corriente y el salario de los trabajadores. También había otro fichero con las personas que tenían un trienio recientemente reconocido y que tenían que empezar a cobrarlo.

Según la denuncia presentada en la comisaría, una o varias personas robaron esta información al forzar la puerta de la oficina de personal de la tercera planta del centro. Tras este hecho, el Provincial mejoró sus medidas de seguridad instalando un sistema de alarma y de videovigilancia, haciendo una transmisión telemática de los datos de las nóminas a la entidad bancaria y desactivando los puertos USB de todos los equipos, salvo aquellos que soliciten un permiso expreso. En el acta de inspección se aclaró que el documento de seguridad del Hospital está en elaboración, aunque ya había dos documentos en los que se regulan las funciones del personal que trabaja con ficheros que contienen datos de carácter personal.

El informe deja claro que tanto el Salud como el Provincial incurrieron en una infracción por no tener terminado el documento de seguridad, y resuelve que infringe dos artículos (el 9 y el 20) de la Ley de Protección de Datos. Requiere a ambos que adopten las medidas oportunas para que no vuelva a ocurrir un hecho parecido, y al Provincial le insta a que termine el documento de seguridad que está elaborando “e implante todas las medidas que se requieren legal y reglamentariamente”.

eco-Shredder, empresa especilizada en la destrucción de documentación confidencial “in situ”.