Fisgar en las historias clínicas no solo infringe el código deontológico médico, sino que además es delito.

Miniatura noticia

Uno de los pilares básicos en la implementación y aplicación de la normativa eleopediana en cualquier organización es la necesidad de concienciar al personal de que solamente tienen que acceder a aquellos medios e información necesarios para el desarrollo de sus funciones.

 

Dado que en muchos entornos es imposible parametrizar al cien por cien el acceso a la información, para cumplir esa máxima cobra esencial importancia la acción humana: es necesaria la colaboración de todas las personas de la organización y apelar al sentido de la responsabilidad de cada uno para el éxito de esta política y de otras muchas en materia de protección de datos.

 

Lo que pasa es que —entre que la carne es débil y que el fisgoneo y chafardeo es deporte nacional (de hecho, la única disciplina en la que todo español de pro aspiraría seriamente a ser olímpicos si se incluyera en el programa de los juegos)— no son pocos los casos en los que no podemos resistirnos a mirar lo que no debemos… y eso acarrea sus consecuencias, que van más allá de las tipificadas en la LOPD y que pueden ser mucho más graves.

 

Así, por ejemplo, en el año 2009 la Secretaría General de la Administración de Justicia, ante lo descarado del asunto o bien para frenar un posible despiporre, tuvo que emitir una circular advirtiendo de las consecuencias disciplinarias de los accesos no justificados por parte de los funcionarios de Justicia a la información obrante en el Punto Neutro Judicial. Pueden descargarse la circular desde este enlace, pero no me resisto a la trascripción parcial de la siguiente frase, suficientemente ilustrativa: (más…)


¿Las personas, el eslabón más débil de la LOPD? Lo que no hay que hacer en un equipo de acceso compartido

Miniatura noticia

Artículo escrito a pachas por Alfonso Pacheco Cifuentes y Álvaro Pérez Menéndez, Jefe de Sistemas y Proyectos del Ilustre Colegio de Abogados de las Illes Balears.

Al hablar de protección de datos nos pasamos horas hablando sobre su carácter de derecho fundamental y su capital importancia para el mundo (con permiso del blanqueo de capitales o de la responsabilidad penal de las personas jurídicas, que a este paso todo titular de una actividad económica terminará declarando como segunda actividad el cumplimiento de la burocracia normativa…), sobre el principio de calidad, la obligación de ofrecer contenidos informativos, la necesidad de recabar el consentimiento de los interesados y lo esencial de implementar un sinfín protocolos y muchas medidas de seguridad.

Pero muchas veces nos olvidamos de lo realmente, importante, que son las personas, el propietario de esas manitas que manejan el teclado y el ratón del ordenador o de la cabecita que decide sobre lo que se puede o no hacer con la información de carácter personal que maneja. Muchas de las denuncias que se presentan por los interesados (iba a decir perjudicados, pero ya saben ustedes que no es necesaria dicha condición para formular denuncia ante la AEPD) vienen derivados de errores o, incluso, meros despistes de funestas consecuencias. (más…)


Nueva Ley de Seguridad Privada y su incidencia en protección de datos.

Miniatura noticia

En el Boletín Oficial del Estado del sábado 5 de abril de 2014, se ha publicado la Ley 5/2014, de 4 de abril, de Seguridad Privada, con un nuevo marco jurídico para este sector y actividad, que deroga la hasta vigente Ley 23/1992, de 30 de julio, así como la norma reglamentaria que lo desarrolla, el Real Decreto 2364/1994, en todo lo que se le oponga, y que entrará en vigor a los dos meses desde su publicación.

(más…)


Medidas alternativas al control de acceso físico.

Miniatura noticia

Según el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, para las medidas de seguridad de nivel medio para ficheros automatizados, se establece en el artículo 99 el “control de acceso físico”, de manera que exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.

(más…)


La “autodenuncia” de Pepehone a la AEPD y la obligación de comunicar brechas de seguridad.

Según esta noticia, este operador había mandado 4.845 correos sin copia oculta de sus clientes, de forma involuntaria, habiendo decidido comunicar este incidente a la Agencia Española de Protección de Datos.

 ¿Qué se busca con esta medida? ¿Dar transparencia? ¿Mitigar las posibles sanciones que pudiese imponer la AEPD ante la denuncia planteada por los usuarios que estimasen vulnerada su privacidad?

La propuesta de Reglamento de Protección de Datos

Recordemos que estamos ante una de las novedades más importantes que recoge esta futura norma, que es la de comunicar las brechas de seguridad a la Autoridad de Control, y que no sólo se introduce en esta materia, sino que también está incluida esta obligación en la futura Directiva y Plan de Ciberseguridad, ya que la Comisión se ha mostrado en los últimos tiempos ciertamente preocupada por las fugas de información y sobre todo por los ataques a los sistemas de información y páginas webs. (más…)


II Euskal SecuriTIConference: resumen y conclusiones.

Miniatura noticia

Este evento, al que he tenido el gusto de asistir y participar, y de cuya organización se ha ocupado Pribatua (Asociación Vasca de Privacidad y Seguridad de la Información) se celebró el pasado 5 de marzo en Bilbao con una asistencia de 270 personas. Para el desarrollo del evento se utilizó lo que podríamos llamar un “sistema mixto”, es decir, conferencias y mesas redondas.

La apertura correspondió al Director de la Agencia Vasca de Protección de Datos que hizo un resumen sobre la reforma de protección de datos y su incidencia en las nuevas tecnologías. Le acompañaron  Mikel García Larragan (Presidente de Pribatua) y José Antonio Martínez Decano del COIIE/EIIEO). (más…)


El “polémico” fichero del Ministerio de Justicia con “datos sindicales”.

Miniatura noticia

Y lo califico entre comillas porque ya veremos que la polémica no es tal. Vayamos con los hechos que han saltado a los medios de comunicación en las últimas 24 horas. Puedes leer una noticia al respecto en El País de hoy 22 de febrero de 2013.

Resulta que el pasado martes 19, se ha publicado en el BOE Orden JUS/257/2013, de 14 de febrero, por la que se crean, modifican y suprimen ficheros automatizados con datos de carácter personal del departamento y sus organismos públicos.

Entre los ficheros que se incluyen está el siguiente:

Nombre del Fichero: Régimen disciplinario de los empleados públicos al servicio de la Administración General del Estado con destino en el Ministerio de Justicia.

Personas y colectivos afectados: Personas denunciantes, empleados públicos al servicio de la Administración General del Estado con destino en el Ministerio de Justicia a los que afecte la denuncia, figuren en la información reservada o se les haya incoado expediente disciplinario, así como testigos, actuantes e instructores del procedimiento, en su caso.

Otro tipo de datos:

Datos especialmente protegidos: Datos de afiliación sindical.

Medidas de Seguridad: Nivel medio. (más…)


ICO: su check-list para la contratación de servicios de cloud-computing.

Miniatura noticia

La Comisión Europea ha aprobado recientemente una estrategia para impulsar este tipo de servicios con la que espera generar 2,5 millones de puestos de trabajo y un beneficio económico de 160.000 millones de aquí al año 2020.

Otro de los puntos importantes de esta iniciativa es el objetivo de desarrollar unos modelos de contratos que permitan cumplir con la normativa de protección de datos en todos sus aspectos.

Siguiendo con este tema de radiante actualidad, el ICO (Information Commissioner, la Autoridad de Protección de Datos del Reino Unido) ha publicado recientemente una “Guía sobre el uso del cloud-computing”, en la que además de definir este tipo de servicio así como sus diversas modalidades, describe los pasos para cumplir con la normativa de protección de datos. (más…)


“No sin mi iPad…” ¿Riesgos del BYOD?

Miniatura noticia

Por Alfonso Pacheco, Luis Salvador y Javier Sempere

Tras haberse agotado la lírica sobre la videovigilancia y el “cloud computing”, con un “derecho al olvido” que va y viene sin solución alguna –parece ser a la espera de que se pronuncie el Tribunal de Justicia Europeo-, y un proyecto de Reglamento de Protección de Datos de la Unión Europea que parece que se lo ha tragado un abismo, el llamado “BYOD” (es decir, “a ver, López ya que lo tiene, tráigase usted al trabajo su ipad y así la empresa se  ahorra comprar uno”) aparece como el nuevo referente de discusión y divagación, también de trabajo, para los próximos tiempos. (más…)


XI Jornada Internacional de la Seguridad de la Información.ISMS FORUM SPAIN

Miniatura noticia

 Hoy 6 de junio he tenido la oportunidad de asistir a la  XI JORNADA INTERNACIONAL DE SEGURIDAD DE LA INFORMACIÓN organizada en Madrid por el ISMS FORUM SPAIN para tratar de “Riesgos tecnológicos, regulación y responsabilidad en un mundo globalizado e hiperconectado”.

Dado el interés del tema, y como viene siendo costumbre de la casa, he preparado mi particular crónica  del evento para todos aquellos que no han podido asistir al mismo. Espero que resulte de su agrado.  (más…)