Hoy se celebra el primer Día Europeo de la Protección de Datos

Y mañana en conmeración de este primer día europeo de la Protección de Datos, la Agencia celebra una jornada de puertas abiertas de 10h00 a 18H00.

Presentados los resultados del "Plan Sectorial de oficio a la enseñanza reglada no universitaria"

Casi 2 años después de que la Agencia Española de Protección de Datos comenzase su estudio sectorial para los centros de enseñanza (y del cuál estuvimos nosotros presentes en la auditoría a uno de los centros), han presentado hoy los resultados en una presentación en la propia sede de la Agencia.

La AGPD ha inspeccionado 61 centros de enseñanza de todas las Comunidades Autónomas, 28 Públicos, 17 Concertados y 16 Privados. La Agencia ha detectado en estos centros que las principales deficiencias han sido las siguientes:

• Incumplimiento del deber de información. Incumplimiento generalizado por aprte de los centros de enseñanza del deber de información exigido por la LOPD a la hora de recabar datos.
• Datos excesivos y carencia de procedimientos de cancelación. La Agencia ha constatado que los centros recaban excesiva, inadecuada y no pertinente información y documentación sobre los alumnos y sus padres (como pueden ser certificados médicos, copia de sentencia judicial sobre la custodia del alumno, etc.). A su vez los centros carence de una política de cancelación de los datos recogidos durante los procesos de matriculación.
• Deficiente implantación de medidas de seguridad de los datos. La inspección ha puesto de manifiesto que existen centros que no han implementado medidas de seguridad en materia de protección de datos y entre aquellos que si han implantado existen importantes deficiencias en las medidas de seguridad. Asimismo se ha comprobado que el personal de los centros escolares desconoce las normas de seguridad.
• Utilización de datos especialmente protegidos sin consentimiento expreso. Se ha detectado que, en general, se tratan datos de salud sin la necesaria autorización por parte de padres o tutores.
• Incumplimiento del deber de inscripción de ficheros. Cerca del 50% de los colegios inspeccionados no han notificado sus ficheros con datos de carácter personal.
• Cesiones de datos sin consentimiento. Se han detectado múltiples cesiones de datos sin consentimiento como son las entregas de datos a asociaciones de antiguos alumnos.

El domingo se celebra por primera vez en Europa el "Día de la Protección de Datos"

En conmemoración del aniversario de la firma del Convenio 108, de 28 de enero de 1981, del Consejo de Europa para la protección de las persoans con respecto al tratamiento automatizado de datos de carácter personal, el Comité de Ministros del Consejo de Europa estableció la celebración con carácter anual del "Día de la Protección de Datos".

La celebración de este día tiene como objetivo principal impulsar el conocimiento entre los ciudadanos europeos de cuáles son sus derechos y responsabilidades en materia de protección de datos de forma que puedan familiarizarse con un derecho fundamental, que pese a ser menos conocido, está presente en todas las facetas de sus vidas diarias.

Más información en la web de la Agencia Española de Protección de Datos.

La Agencia Española de Protección de Datos cuenta ya con más de 800.000 ficheros inscritos

En una nota informativa la Agencia Española de Protección de Datos ha informado que cuenta ya con más de 800.000 ficheros inscritos. Cabe destacar que los sectores de actividad que mayor cuenta de inscripción de ficheros son los relacionados con el Comercio, las Comunidades de Propietarios y Adminsitración de Fincas, las actividades de auditoría, contabilidad y asesoría y el sector sanitario.

La propia Agencia informa que el año pasado se inscribieron más de 165.000 ficheros, de los cuáles cerca de 6.000 se inscribieron a través del nuevo sistema de Notificaciones Telemáticas a la Agencia (Sistema NOTA).

Este nuevo sistema puesto a disposición por la Agencia viene a sustituir al antiguo programa de inscripción de ficheros que ha estado en funcionamiento los últimos años. El nuevo sistema pretende ayudar a los responsables en la inscripción de los ficheros, para ello la navegación es más intuitiva y permite que el responsable no se pierda entre los diferentes apartados que tiene rellenar. Además, en el caso de ficheros tipo: clientes-proveedores, la inscripción está casi realizada faltando sólo los datos del responsable del fichero. Uno de los mayores adelantos del sistema es la posibilidad de realizar la inscripción y el envío por Internet mediante firma electrónica, pudiéndose de esta forma sustituir el posterior envío de la notificación vía fax a la Agencia. Sin embargo, uno de los puntos débiles del sistema (a falta que lo testee un poco más o que alguien me saque del error) es que para cada notificación se debe realizar un envío, en el anterior sistema una vez rellenado todos los apartados para cada fichero se realizaba un único envío a la AGPD con todos los ficheros, con NOTA cada fichero genera un envío, si bien esto no es problema si contamos con la firma electrónica, lo es en el caso que no contemos con la firma electrónica y debamos remitir vía fax la hoja de presentación, puesto que si queremos inscribir 5 ficheros, enviaremos 5 hojas de presentación (como he comentado con el anterior sistema con un sólo envío y una sola hoja de presentación era suficiente). Y a vosotros ¿qué os parece el sistema NOTA?

Propuesta de Presidente de la Agencia Española de Protección de Datos

El Gobierno aprobó en el Consejo de Ministros del pasado día 12 de Enero la propuesta de D. Artemi Rallo Lombarte como Presidente de la Agencia Española de Protección de Datos. Dicha propuesta deberá ser ratificada por el Congreso de los Diputados.

Google ficha personal mediante un logaritmo

Estos días he podido leer esta noticia en diversos medios de comunicación y webs y me ha venido a la cabeza el artículo 13 de la Ley Orgánica de Protección de Datos. Como todo, y más en estas materias, creo que todo puede ser interpretable, pero considero que con la LOPD en la mano, ésto no podría ser factible en España (ni esto ni que nos concedan o nos deniegen la hipoteca porque un programa de ordenador lo haya procesado y haya dado como resultado la aprobación o denegación). Me explico:

El art. 13.2 de la LOPD establece que el afectado podrá impungar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad. A su vez, el art. 13.3 LOPD recalca que en este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios objetivos de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.

Dicho en otras palabras, que si no nos contratan porque no le hemos gustado al algoritmo podemos pedir información del programa utilizado e impugnar ante los tribunales o el órgano adminsitrativo competente (entiendo que la Agencia Española de Protección de Datos) esa decisión que ha llevado al traste nuestra intención de trabajar en google, o nuestra intención de comprarnos una casa.

Me imagino que la Constitutición en su artículo 18.4 se refería con su intención de que la Ley limite el uso de la informática para garanitzar el honor y la intimidad personal y familiar de sus ciudadanos y el pleno ejercicio de sus derechos, a situaciones como las anteriormente descritas que pueden resultar perjudiciales para la persona, por el simple hecho que un algoritmo haya decidido que no somos buenos para trabajar en una empresa.

Corrección de errores de la Instrucción 1/2006

Ya he hemos hecho nuestra buena acción del año (aunque realmente corresponde al pasado 2006): Advertimos en el blog sobre la errata en la Instrucción 1/2006 de la Agencia Española de Protección de Datos sobre videovigilancia, además lo pusimos en conocimiento de la Agencia a través del buzón de contacto que tienen en su web y hoy mismo se ha publicado en el BOE la corrección de errores en la Instrucción.

A partir de ahora voy a creer más en los buzones de correo electrónico puestos a disposición de los ciudadanos, no sirven sólo para aparentar que se nos hace caso, sino que realmente funcionan. Espero que esta creencia dure mucho tiempo...

Feliz 2007!

Errata en la Instrucción de la AGPD sobre videovigilancia

Revisando las estadísticas del blog he caído en una errata tipográfica en la nueva Instrucción sobre videovigilancia dictada por la Agencia Española de Protección de Datos. Es de lo más tonto pero me ha resultado curiosa:

La exposición de motivos de la Instrucción 1/2006 hace referencia a:

"Las imágenes se consideran un dato de carácter personal, en virtud de lo establecido en el artículo 3 de la Ley Orgánica 15/1999 y el artículo 1.4 del Real Decreto 1322/1994 de 20 de junio, que considera como dato de carácter personal la información gráfica o fotográfica."

En este caso a la Agencia le ha bailado un número, puesto que el verdadero Real Decreto es el 1332/1994, de 20 de Junio.

Y todo ha venido porque he recibido visitas al blog a través del los parámetros de búsqueda de google: RD 1322/1994, me ha extrañado que estas visitas viniesen hacia mí y no fuesen directamente a la Agencia Española de Protección de Datos, entonces me he puesto a revisar la legislación sobre protección de datos y me he dado cuenta de esta posible errata (a no ser que dicho RD exista y mi torpeza sea mayor...).

Nueva promesa en el mundo blogero

Un nuevo blogero aparece en el universo de Internet: Samuel Parra con su blog sobre protección de datos de carácter personal. Samuel es una joven promesa que conocí en el III Congreso sobre Derecho TICS y seguro que aportará muchas entradas interesantes sobre la normativa de protección de datos.

Un saludo!

Publicada en el BOE la Instrucción 1/2006 de la AGPD sobre sistemas de videovigilancia

El BOE publica hoy la Instrucción 1/2006 (la primera del año... nunca es tarde si la dicha es buena...) de 8 de noviembre, de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

La instrucción de la Agencia constata la realidad actual del incremento de las instalaciones de sistemas de cámaras y videocámaras con fines de vigilancia, haciéndose necesaria la adecuación de estos tratamientos a la normativa de Protección de Datos de carácter personal. La Agencia recalca en la Instrucción la importancia de ponderar los intereses entre la seguridad y la vigilancia con el derecho fundamental a la protección de datos de carácter personal, recordando que se considera como dato de carácter personal (en virtud de lo establecido en el artículo 3 de la LOPD y el artículo 1.4 de Real Decreto 1322/1994) la información gráfica o fotográfica.

Los puntos más importantes recogidos en la presente instrucción son los siguientes:

- Deber de Información: Los responsables deberán colocar en las zonas videovigiladas al menos un distintivo informativo ubicado en lugar suficientemente visibles y tener a disposición de los interesados impresos en los que se detalla la información prevista en la LOPD.

- Derecho de cancelación: Los datos serán cancelados en el plazo máximo de un mes desde su captación.

- Notificación de ficheros: Se deberá notificar previamente a la Agencia la creación de ficheros de videovigilancia.

- No se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.

- Deber de secreto: El responsable deberá informar a las personas con acceso a los datos del deber de secreto.

Actualización: ¿Y la voz? ¿se puede considerar como dato de carácter personal?

Curiosidades de las memorias de la Agencia Española de Proteccion de Datos

Revisando las memorias del 2005 publicadas por la Agencia Española de Protección de datos me han resultado más que curiosas las siguientes cifras:

- Durante el año 2005, se han iniciado 1158 actuaciones previas de investigación, de las cuáles 703 corresponden a responsables de la Comunidad de Madrid, la segunda comunidad con más actuaciones iniciadas es Cataluña pero con un número bastante inferior 124.
- Se han iniciado 387 procedimientos sancionadores de los cuáles 244 corresponden a empresas privadas de la Comunidad de Madrid, seguido nuevamente por Cataluña con 56.
- Los sectores con más procedimientos sancionadores corresponden a Telecomunicaciones y al sector financiero.


¿Será que la Agencia Española de Protección de Datos tiene su sede en Madrid o será que los sectores que más vulneran la normativa de protección de datos tienen sus sedes en la capital?

Son curiosidades sin más de las memorias, puesto que lo realmente importante de las memorias son los análisis realizados por la propia Agencia sobre las consultas, procedimientos sancionadores y aplicación de los derechos de la normativa de protección de datos de carácter personal.

Memorias 2005 de la Agencia Española de Protección de Datos

Hoy mismo el Director de la Agencia Española de Protección de Datos presenta ante la Comisión Constitucional del Congreso la Memoria de Actividades del año 2005.

Cabe señalar el incremento en las actividades inspectoras y las sanciones impuestas durante el año 2005, la cantidad recaudada ascienda a 19,7 millones de euros.

SPAM y sanciones

El pasado miércoles tuve una charla muy interesante con Josian sobre las comunicaciones comerciales no consentidas, nos daba la sensación que era una guerra perdida, que todos aceptamos que nos van a llegar e-mails basura todos los días, que algunos serán filtrados y otros aparecerán en nuestra bandeja de entrada y que la administración (en este caso la Agencia Española de Protección de Datos) poco o nada puede hacer en este sentido.

Buceando por las resoluciones dictadas por la AGPD he observado que cada mes se publican aproximadamente 2 resoluciones que tienen que ver con el artículo 21 de la LSSI (comunicaciones comerciales no cosentidas) y con el art. 38 de la LGT (en este caso el envío de publicidad a través del fax). Las sanciones impuestas por la AGPD para el caso de envíos de e-mails comerciales ronda los 1.000 Euros al infractor al ser tipificada como infracción leve y teniendo en cuenta los baremos del artículo 40 para la graduación de la sanción según la reincidencia, perjuicio causado, etc. Sin embargo, las sanciones impuestas por el envío de publicidad a través del fax rondan entre los 3.000 Euros y los 30.000 Euros, dependiendo del tipo de infracción (leve o grave) y los baremos anteriormente mencionados. Sí que he notado que el grado de irritación del demandante es mayor según el medio utilizado, molesta más la publicidad que nos llega al FAX que al e-mail, y las sanciones que se imponen son mayores para el FAX que para el e-mail.

¿Tenemos la batalla perdida?. Puede parecer que son pocas las resoluciones dictadas ante la marea de SPAM que nos llega, la Agencia, sin embargo, quiere ganar la guerra y está investigando un centenar de quejas sobre el correo basura. Seguiremos investigando.

El nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de datos llegará a finales de año

Desde finales del año pasado se está a la espera de la publicación definitiva del nuevo Reglamento que venga a llenar vacíos de la normativa de protección de datos de carácter personal.

D. Jose Luis Piñar (Director de la Agencia Española de Protección de Datos) en uno de los cursos de Verano que se celebran en El Escorial adelantó que el nuevo Reglamento presentado por la Agencia en diciembre de 2005, sea envíado al Consejo de Estado en septiembre u octubre para ser aprobado y publicaod antes de finales de año.

La Agencia Española de Protección de Datos presentará su primer servicio de administración electrónica.

La Agencia Española de Protección de Datos presentará el miércoles 12 de Julio el sistema denominado: "NOTA" (Notificaciones Telemáticas a la Agencia). El objetivo de este sistema es simplificar y facilitar a las empresas privadas y organismos públicos la notificación a la Agencia de los ficheros con datos de carácter personal que manejan, permitiendo la notficacion vía telemática mediante el uso de la firma electrónica, y simplificando considerablemente los distintos formularios de inscripción.

Este sistema renovará la forma de inscribir los ficheros en la Agencia Española de Protección de Datos, en la actualidad el sistema consiste en la descarga e instalación de un programa para la inscripción de ficheros y el posterior envío mediante fax de una hoja firmada por la persona encargada de realizar la inscripción. El sistema NOTA simplifica el formulario de inscripción y reduce los trámites para su inscripción.

La AEPD inciará actuaciones previas inspectoras en 80 Ayuntamientos

La Agencia en una nota de prensa ha anunciado la puesta en marcha de actuaciones previas inspectoras a 80 Ayuntamientos. El pasado mes abril la AEPD realizó un requerimiento de oficio a 155 Ayuntamientos con una población superior a 2500 habitantes, con excepción de los correspondientes a los ámbitos de competencia de las Agencias Autonómicas de Protección de Datos de Madrid, Cataluña y País Vasco, para que notificasen sus ficheros con datos de carácter personal al Registro General de Protección de Datos antes del 1 de junio.

Una vez transcurrido el plazo, la AEPD ha comprobado que más de 80 de los Ayuntamientos requeridos no han procedido a solicitar la inscripción de sus ficheros en el Registro General de Protección de Datos (RGPD) por lo que iniciará actuaciones previas a la apertura de procedimientos sancionadores por una presunta vulneración de la LOPD.

Ayuntamientos y LOPD

155 Ayuntamientos están obligados a inscribir sus ficheros antes del 1 de junio del presente año. La Agencia Española de Protección de Datos ha realizado un requerimiento de oficio a Ayuntamientos con una población comprendida entre 2500 y 5000 habitantes para que notifiquen sus ficheros con datos de carácter personal al Registro General de Protección de Datos antes del próximo 1 de Junio de 2006.

La Ley Orgánica de Protección de Datos obliga a todos organismos y entidades públicas y privadas a dar de alta sus ficheros, que contengan datos de carácter personal, en el Registro General de Protección de Datos, con el objetivo de que los ciudadanos puedan conocer quien trata sus datos y ejercer los derechos acceso, consulta, rectificación, oposición y cancelación de sus datos personales recogidos ficheros.

Ayuntamientos y medidas de seguridad

El sábado nos sorprendió la noticia de robos en Ayuntamientos de la Comunidad de Madrid. Lo más llamativo del caso es que los amantes de lo ajeno estaban interesados en los ordenadores de los consistorios o más bien en los datos que manejan los Ayuntamientos. Como todos sabemos, en estos ordenadores se gestiona el Padrón Municipal de Habitantes, nuestros padrones fiscales, pueden tener datos muy sensibles provenientes de la Policía Local o de los servicios sociales...

Lo llamativo es la falta de medidas de seguridad cuando la normativa de protección de datos establece como uno de los principios de la normativa la seguridad de los datos. En el caso de los Ayuntamientos por la sensibilidad de los datos contenidos el nivel de seguridad que deberían cumplir es un nivel de seguridad alto, que no sólo incluye la realización de las copias de seguridad (el Alcalde sorprendido comenta que alarmados por la noticia del robo en otro Ayuntamiento realizaron copias de seguridad...) sino un inventario de soportes, cifrado de las copias, procedimientos de identificación y autenticación, entre otros.

Esperemos que las Agencias de Protección de Datos tanto la estatal como las autonómicas involucren realmente a las Entidades Locales en el cumplimiento de la normativa de protección de datos, que comprendan que la seguridad de los datos es algo importante con lo que deben cumplir y no un capricho de la normativa y sobre todo conciencien a los responsables de dichas Entidades para que se cumpla escrupulosamente con la legislación sobre protección de datos de carácter personal.