¿Las personas, el eslabón más débil de la LOPD? Lo que no hay que hacer en un equipo de acceso compartido

Miniatura noticia

Artículo escrito a pachas por Alfonso Pacheco Cifuentes y Álvaro Pérez Menéndez, Jefe de Sistemas y Proyectos del Ilustre Colegio de Abogados de las Illes Balears.

Al hablar de protección de datos nos pasamos horas hablando sobre su carácter de derecho fundamental y su capital importancia para el mundo (con permiso del blanqueo de capitales o de la responsabilidad penal de las personas jurídicas, que a este paso todo titular de una actividad económica terminará declarando como segunda actividad el cumplimiento de la burocracia normativa…), sobre el principio de calidad, la obligación de ofrecer contenidos informativos, la necesidad de recabar el consentimiento de los interesados y lo esencial de implementar un sinfín protocolos y muchas medidas de seguridad.

Pero muchas veces nos olvidamos de lo realmente, importante, que son las personas, el propietario de esas manitas que manejan el teclado y el ratón del ordenador o de la cabecita que decide sobre lo que se puede o no hacer con la información de carácter personal que maneja. Muchas de las denuncias que se presentan por los interesados (iba a decir perjudicados, pero ya saben ustedes que no es necesaria dicha condición para formular denuncia ante la AEPD) vienen derivados de errores o, incluso, meros despistes de funestas consecuencias. (más…)


¿Qué hacer ante una brecha de seguridad?: Dictamen de las Autoridades Europeas de Protección de Datos.

Miniatura noticia

Una de las novedades que contiene el futuro Reglamento Europeo de Protección de Datos es la obligatoriedad de notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados, que además de tener su propia regulación, aparece en otros apartados de este texto normativo, como es el caso de las funciones del Data Protection Officer (documentar, notificar y comunicar las violaciones de seguridad), o en lo referente al principio de “accountability” (responsable y encargado deben articular los procedimientos de cómo actuar ante las fugas de seguridad).

(más…)


La “autodenuncia” de Pepehone a la AEPD y la obligación de comunicar brechas de seguridad.

Según esta noticia, este operador había mandado 4.845 correos sin copia oculta de sus clientes, de forma involuntaria, habiendo decidido comunicar este incidente a la Agencia Española de Protección de Datos.

 ¿Qué se busca con esta medida? ¿Dar transparencia? ¿Mitigar las posibles sanciones que pudiese imponer la AEPD ante la denuncia planteada por los usuarios que estimasen vulnerada su privacidad?

La propuesta de Reglamento de Protección de Datos

Recordemos que estamos ante una de las novedades más importantes que recoge esta futura norma, que es la de comunicar las brechas de seguridad a la Autoridad de Control, y que no sólo se introduce en esta materia, sino que también está incluida esta obligación en la futura Directiva y Plan de Ciberseguridad, ya que la Comisión se ha mostrado en los últimos tiempos ciertamente preocupada por las fugas de información y sobre todo por los ataques a los sistemas de información y páginas webs. (más…)


Gallardón y las cargas burocráticas de la reforma europea de protección de datos.

Miniatura noticia

La semana pasada se reunieron los Ministros de Justicia e Interior de los países de la Unión Europea para debatir la propuesta de reglamento de protección de datos, que tanto está trayendo de cabeza a más de uno por esa lucha entre los defensores del texto y lo que vamos a llamar la “sección lobby”.

 Durante la reunión, y según ha aparecido en la prensa, el Ministro de Justicia Gallardón, manifestó que si bien está de acuerdo con proteger la privacidad habría que eliminar las llamadas cargas burocráticas.

 Pero, ¿A qué cargas burocráticas se refiere el Ministro? (más…)


España pide flexibilizar el contenido del Reglamento de Protección de Datos de la UE.

Miniatura noticia

En el seno del Grupo de Trabajo sobre Intercambio de Información y Protección de Datos (DAPIX en sus siglas) ha visto la luz el pasado 11 de febrero de 2012, un documento (en inglés) donde se expone la postura de varios países sobre la reforma de la protección de datos a nivel europeo. Ya saben, la famosa “propuesta de Reglamento” que sustituirá, si se aprueba, a la vigente Directiva 95/46.

Lo primero que llama la atención sobre el citado documento es que el pobre e improductivo españolito de a pie hace más observaciones al texto citado que el resto de países que aparecen.

Como si de Eurovision se tratase, podemos decir aquello de “Spain, 40 points (páginas)”, mientras que “los del Skoda” (Chequia) se queda en unas míseras 4, los “amigos de Sabonis” (Lituania) ni eso y llegan a 2, los “del barrio rojo” (Holanda) aumentan hasta 16, los “del anterior Papa” (Polonia) bajan 7, los portugueses que son igual de desgraciados que nosotros bajan aún más y se quedan en 3, la parte pobre de Chequia (Eslovaquia) gana a la parte rica sumando 8, y finalmente, los “del té a todas horas” (Reino Unido) alcanzan las 13 páginas. (más…)


Finalidad de la comunicación de una brecha/violación de seguridad: ¿Sanciona o no la Autoridad de Control?

Miniatura noticia

Como muchos sabrán, la propuesta de Reglamento de Protección de Datos de la Unión Europea, en sus artículos 31 y 31 regula la comunicación de las brechas o violaciones de seguridad que se produzcan (como pueden ser la pérdida de datos, el borrado de los mismos, o un acceso no autorizado).

Esta comunicación debe realizarse en una doble dirección:

–          A la Autoridad de Control, de manera inmediata y no superior a 24 horas, salvo que esté justificado realizar la comunicación fuera de ese plazo (deberá motivarlo).

–          A los afectados, cuando la violación/brecha los afecte negativamente. (más…)


La AEPD se acerca a la calle: consulta pública sobre Cloud Computing

Miniatura noticia

La AEPD ha puesto en marcha una iniciativa francamente positiva y sin precedentes previos: el ente de control ha abierto en su web site una consulta pública sobre el cloud computing, “a los efectos de recoger la opinión de prestadores y usuarios de estos servicios, habida cuenta que son cada vez más las entidades públicas y privadas –desde grandes multinacionales hasta pequeñas empresas de ámbito local y Administraciones Públicas- utilizan sistemas de Computación en Nube en alguna de sus modalidades, debido a las ventajas puede proporcionar en términos de ahorro, alta disponibilidad, o adaptabilidad, entre otras”.

(más…)


¿Pueden perseguirse vía LOPD las filtraciones judiciales que aparecen en los medios de comunicación?

Miniatura noticia

A lo mejor resulta simplemente,  como muy a menudo me dicen mis socios (y además amigos) de aventura bloguera, que se me ha ido la pinza y estoy planteando una tontería, pero no puedo dejar de preguntarme lo que constituye el título de este post: ¿Y si vía LOPD pudiera sancionarse la publicación por un medio de prensa de una información surgida de unas diligencias penales declaradas secretas vía artículo 302 de la Ley de Enjuiciamiento Criminal? Intento explicarme.

De acuerdo con el artículo 24.2 de la Constitución, todos tenemos derecho a un proceso público sin dilaciones indebidas (conste que lo de dilaciones indebidas no me lo he inventado yo, sino que el cachondo es el legislador, que era un buenazo o nunca había pisado un juzgado) y el apartado 1º del artículo 120 de la Carta Magna determina que las actuaciones judiciales serán públicas. Pero esto no significa que el procedimiento penal deba “retransmitirse en en vivo y en directo” desde el inicio de la fase de instrucción hasta que se dicte sentencia. El carácter público del proceso penal hace referencia exclusivamente al proceso, en sentido estricto, esto es, al acto de  juicio oral en el que se lleva a cabo  la práctica de las  pruebas  admitidas, y se plantean las definitivas conclusiones de  acusación y  defensa, tras lo que se dictará sentencia, que se pronunciará ésta en audiencia pública.

(más…)