NOTICIAS Y NOVEDADES
A continuación podrá consultar algunas de las noticias más relevantes en materia de protección de datos
NUEVO REGLAMENTO DE PROTECCION DE DATOS: REAL DECRETO 1720/2007 DE 21 DE DICIEMBRE
DÍA EUROPEO DE LA PROTECCIÓN DE DATOS :LAS DENUNCIAS POR INCUMPLIMIENTO DE PROTECCION DE DATOS SE DUPLICAN
Protección de Datos recibió durante 2007 los primeros casos que incumben a YouTube o al intercambio de archivos P2P
EUROPA PRESS - Madrid - 28/01/2008
Hoy se celebra el Día Europeo de la Protección de Datos, una jornada promovida por el Consejo, la Comisión Europa y todas las autoridades de protección de datos de los países miembros de la UE, con el fin de impulsar el conocimiento entre los ciudadanos europeos de cuáles son sus derechos y responsabilidades en esta materia y familiarizarse con un aspecto normativo que, "a pesar de ser menos conocido, está presente en muchas facetas de su vida diaria". Según datos del Eurobarómetro, correspondientes a 2003, más del 60% de los ciudadanos europeos tenían un conocimiento escaso acerca de sus derechos en materia de protección de los datos y sobre la existencia de autoridades independientes con competencias para su protección. No obstante, la agencia española recibió el año pasado alrededor de 900 demandas de tutela, casi el doble que en 2006, un dato que evidencia una concienciación, cada vez mayor, de los ciudadanos sobre este aspecto legal.
Las tutelas corresponden al derecho de los ciudadanos a conocer la información personal que obra en poder de entidades públicas y eliminar, corregir los datos inexactos o irreales. Los sectores tradicionalmente afectados por las tutela de los datos y que protagonizan el 90% de este tipo de las tutelas son la banca y las telecomunicaciones, básicamente por la inclusión indebida en ficheros de morosos y la obtención fraudulenta de información personal para contrataciones, servicios de agua, gas o telefonía.
Sin embargo, el uso de las nuevas tecnologías e Internet ha abierto un nuevo ámbito de quejas y denuncias en la Agencia Española de Protección de Datos. El año pasado, este órgano recibió las primeras reclamaciones por parte de españoles que vieron vulnerados sus derechos por la inserción de imágenes en el popular portal YouTube, o el intercambio de archivos P2P.
Prácticas agresivas de publicidad
La publicidad es otro ámbito importante, en lo que se refiere a la protección de datos. El año pasado las principales quejas ciudadanas fueron las relacionadas con las llamadas telefónicas a móviles sin el conocimiento del usuario, o los spam, a través del correo electrónico. El pasado 21 de diciembre se aprobó un reglamento que exige el consentimiento de los padres a la hora de requerir datos personales a los menores de 14 años, a través de Internet. Tras la entrada en vigor de esta normativa, se deben utilizar técnicas que permitan autentificar la autorización paterna y comprobar la edad del menor.
Otro de los sectores más polémicos es el de la videovigilancia. Las denuncias por el uso de manera indebida de estos sistemas se han incrementado, ya que se ha dado una implantación progresiva en el ámbito laboral, el comercio y los medios de comunicación. La videovigilancia debe regirse por varios criterios: los dispositivos deben ser suficientemente visibles, aunque de la forma menos agresiva, mientras que la toma de imágenes ha de ser, según la agencia, "adecuada, pertinente y no excesiva", garantizando en todo caso el acceso y la cancelación por parte de las personas cuya imagen sea captada. Las sanciones en materia de Protección de Datos a empresas y particulares, van de los 600 euros hasta los 600.000 en los casos más graves.
TELEFONICA NO REVELARÁ A PROMUSICAE DATOS DE CLIENTES QUE DESCARGUEN MÚSICA
www.expansion.com 4/2/2008
Telefónica no revelará a Promusicae datos de clientes que descarguen música
La Unión Europea ha dado la razón a la operadora española en el contencioso que mantenía con la Asociación de Productores de Música de España (Promusicae), que exigía a Telefónica los datos de los clientes que descargan música en Internet.
El Tribunal de Justicia de la UE (TUE) ha rechazado los argumentos de Promusicae al considerar que Telefónica no tiene obligación de revelar los datos de sus clientes aunque estos puedan vulnerar los derechos de autor al descargar canciones desde el programa Kazaa.
La asociación de productores solicitó por la vía judicial a Telefónica que le facilitase los nombres y direcciones de algunos de sus clientes de Internet que habían descargado música desde el citado portal. Promusicae había logrado identificar a estos usuarios mediante la dirección IP de sus ordenadores y disponía también de la fecha y hora de su conexión. Los clientes de telefónica descargaron determinadas canciones sobre las que Promusicae tiene derechos de autor y de licencia, por lo que decidió reclamar a la operadora la información necesaria para emprender contra estos usuarios acciones civiles.
Telefónica respondió negativamente a las exigencias de la asociación de productores amparándose en la legislación española, que sólo autoriza a Promusicae en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y de la defensa nacional y no en el marco de un proceso civil.
Ante esta situación los productores musicales acudieron al TUE por una cuestión prejudicial que planteó el juzgado de lo mercantil número 5 de Madrid. No obstante, la UE también ha dado la razón a Telefónica. En su sentencia el TUE alega que las excepciones permitidas por la legislación comunitaria sobre protección de datos personales incluyen las medidas necesarias para la protección de los derechos y libertades de otras personas. De este modo, se incluye la posibilidad de que los Estados miembros impongan el deber de divulgar datos personales en un procedimiento civil, pero también a los países europeos a imponer tal deber.
El TUE también señala que, en materia de propiedad intelectual, la normativa europea no obliga a los Estados miembros a imponer el deber de comunicar datos personales en el marco de un procedimiento civil con objeto de garantizar una protección efectiva de los derechos de autor.
La UE concluye que los Estados miembros, a la hora de adaptar su legislación a las directivas en materia de propiedad intelectual y de protección de datos personales, "deben basarse en una interpretación de éstas que garantice un justo equilibrio entre los distintos derechos fundamentales protegidos por el ordenamiento jurídico comunitario".
Además, a la hora de aplicar estas normas, la sentencia recomienda a los tribunales de los Estados miembros "no sólo interpretar su derecho nacional de conformidad con dichas directivas, sino también procurar que la interpretación de éstas que tomen como base no entre en conflicto con dichos derechos fundamentales o con los demás principios generales del derecho comunitario, como el principio de proporcionalidad".
EL BUEN GOBIERNO CORPORATIVO CON LA LEY DE PROTECCION DE DATOS
www.expansion.com/edicion/exp/economia_y_politica/fiscal/es/desarrollo/998177.html
El buen gobierno corporativo choca con la Ley de Protección de Datos Publicado el 25/05/2007, por Carlos l. Abadía.
La creación de un canal de denuncias para los empleados de las empresas, una recomendación del Código Conthe, debe realizarse de acuerdo a la LOPD. Pero existe el problema de adaptar la confidencialidad de este canal a los derecho de acceso de la LOPD.
La incorporación de normas de buen gobierno en las empresas cotizadas, como los controles internos para detectar casos de fraudes de empleados, se ha topado con un problema: la adaptación de estas herramientas a la Ley de Protección de Datos (LOPD), que garantiza los derechos de los ciudadanos al acceso a sus propios datos de carácter personal –en este caso de los trabajadores– que tiene la compañía.
El debate sobre la implantación de políticas empresariales transparentes se inició con la Ley de Sarbanes-Oxley (SOX en sus siglas en inglés) –aplicable a las sociedades estadounidenses que cotizan en bolsa, a sus filiales ubicadas en la Unión Europea y a las europeas que cotizan en EEUU– que exige que se establezcan en sus comités de auditoría “procedimientos para la recepción, retención y tratamiento de quejas recibidas por el causante en relación con la compatibilidad, controles contables internos o cuestiones de auditoría”. Además, establece que este canal de denuncias –como se ha bautizado en España– mantenga el anonimato y la confidencialidad del denunciante.
En España, algunos preceptos de la SOX se han asumido en el Código Unificado de Buen Gobierno o Código Conthe, en concreto, este canal de denuncias. Pero, en nuestro país, las empresas se encuentran con la dificultad de adoptar la normativa de protección de datos a este mecanismo para que sea efectivo.
Una empleado, aunque no sepa que está denunciado por un compañero, en virtud de esta ley puede exigir que se le informe de qué datos de carácter personal obran en poder de la empresa. Además, “los empleados tienen el derecho de acceso, rectificación y cancelación de estos”, explica Carlos Sáiz, socio responsable de Nuevas Tecnologías de Ecija Abogados. “Por lógica –continúa– la empresa no debería de informar sobre ellos, pero aún así choca con la LOPD”.
Para encontrar una solución a este entramado las empresas no cuentan con un marco regulador que clarifique este enredo normativo. “La LOPD no se pronuncia sobre esta materia”, apunta el socio de Ecija. Además, los sucesivos borradores del reglamento que desarrolla la Ley –pendiente de su aprobación por el Consejo de Ministros– tampoco recogen nada relativo a esta cuestión, “lo que sería útil ya que daría la clave interpretativa para saber el camino adecuado”, subraya.
El canal de denuncias se ha convertido en una poderosa herramientas para reducir las estafas cometidas dentro de las empresas a la mitad, según estadísticas de Forénsic de KPMG. No obstante, de momento, “no es una práctica demasiado extendida en las empresas españolas”, explica Juan Jose Valderas, socio director de Forensic de Deloitte.
Para algunos expertos, garantizar el anonimato de este proceso incentiva al empleado a denunciar posibles fraudes. Pero las recomendaciones que se dan desde organismos oficiales van en otra dirección. El Grupo de Trabajo del Artículo 29 –órgano consultivo europeo sobre protección de datos– recomienda, en un dictamen de 2006 sobre estos procedimientos, que “los programas de denuncias de irregularidades deberían estar creados de tal manera que no fomenten informes anónimos como manera habitual de presentar una acusación”. Asimismo “la persona acusada en el informe del denunciante deberá ser informada por el responsable [del canal de denuncias], después de que los datos relativos a ella hayan sido registrados”, concluye el documento.
Una de las fórmulas que las empresas están usando para garantizar esta confidencialidad es la “externalización del canal”, afirma Sáiz. De esta forma, una tercera sociedad será la que informe a la empresa de que se ha producido una denuncia”, concluye. Aunque, para Fernando Lacasa, senior manager de Forensic de KPMG, “las empresas optan por contar con varias formas de realizar estas denuncias y no una sola”.
El buen gobierno corporativo choca con la Ley de Protección de Datos Publicado el 25/05/2007, por Carlos l. Abadía.
La creación de un canal de denuncias para los empleados de las empresas, una recomendación del Código Conthe, debe realizarse de acuerdo a la LOPD. Pero existe el problema de adaptar la confidencialidad de este canal a los derecho de acceso de la LOPD.
La incorporación de normas de buen gobierno en las empresas cotizadas, como los controles internos para detectar casos de fraudes de empleados, se ha topado con un problema: la adaptación de estas herramientas a la Ley de Protección de Datos (LOPD), que garantiza los derechos de los ciudadanos al acceso a sus propios datos de carácter personal –en este caso de los trabajadores– que tiene la compañía.
El debate sobre la implantación de políticas empresariales transparentes se inició con la Ley de Sarbanes-Oxley (SOX en sus siglas en inglés) –aplicable a las sociedades estadounidenses que cotizan en bolsa, a sus filiales ubicadas en la Unión Europea y a las europeas que cotizan en EEUU– que exige que se establezcan en sus comités de auditoría “procedimientos para la recepción, retención y tratamiento de quejas recibidas por el causante en relación con la compatibilidad, controles contables internos o cuestiones de auditoría”. Además, establece que este canal de denuncias –como se ha bautizado en España– mantenga el anonimato y la confidencialidad del denunciante.
En España, algunos preceptos de la SOX se han asumido en el Código Unificado de Buen Gobierno o Código Conthe, en concreto, este canal de denuncias. Pero, en nuestro país, las empresas se encuentran con la dificultad de adoptar la normativa de protección de datos a este mecanismo para que sea efectivo.
Una empleado, aunque no sepa que está denunciado por un compañero, en virtud de esta ley puede exigir que se le informe de qué datos de carácter personal obran en poder de la empresa. Además, “los empleados tienen el derecho de acceso, rectificación y cancelación de estos”, explica Carlos Sáiz, socio responsable de Nuevas Tecnologías de Ecija Abogados. “Por lógica –continúa– la empresa no debería de informar sobre ellos, pero aún así choca con la LOPD”.
Para encontrar una solución a este entramado las empresas no cuentan con un marco regulador que clarifique este enredo normativo. “La LOPD no se pronuncia sobre esta materia”, apunta el socio de Ecija. Además, los sucesivos borradores del reglamento que desarrolla la Ley –pendiente de su aprobación por el Consejo de Ministros– tampoco recogen nada relativo a esta cuestión, “lo que sería útil ya que daría la clave interpretativa para saber el camino adecuado”, subraya.
El canal de denuncias se ha convertido en una poderosa herramientas para reducir las estafas cometidas dentro de las empresas a la mitad, según estadísticas de Forénsic de KPMG. No obstante, de momento, “no es una práctica demasiado extendida en las empresas españolas”, explica Juan Jose Valderas, socio director de Forensic de Deloitte.
Para algunos expertos, garantizar el anonimato de este proceso incentiva al empleado a denunciar posibles fraudes. Pero las recomendaciones que se dan desde organismos oficiales van en otra dirección. El Grupo de Trabajo del Artículo 29 –órgano consultivo europeo sobre protección de datos– recomienda, en un dictamen de 2006 sobre estos procedimientos, que “los programas de denuncias de irregularidades deberían estar creados de tal manera que no fomenten informes anónimos como manera habitual de presentar una acusación”. Asimismo “la persona acusada en el informe del denunciante deberá ser informada por el responsable [del canal de denuncias], después de que los datos relativos a ella hayan sido registrados”, concluye el documento.
Una de las fórmulas que las empresas están usando para garantizar esta confidencialidad es la “externalización del canal”, afirma Sáiz. De esta forma, una tercera sociedad será la que informe a la empresa de que se ha producido una denuncia”, concluye. Aunque, para Fernando Lacasa, senior manager de Forensic de KPMG, “las empresas optan por contar con varias formas de realizar estas denuncias y no una sola”.
JUSTICIA IGUALA LOS NIVELES DE SEGURIDAD A LOS DATOS INFORMATICOS A LOS DE PAPEL
www.expansion.com/edicion/exp/economia_y_politica/fiscal/es/desarrollo/991533.html
Justicia iguala los niveles de seguridad de los datos informáticos a los de papel
Publicado el 11/05/2007, por Carlos L. Abadía
Los datos en papel de carácter personal tendrán los mismos niveles de seguridad que los informatizados. Así, se unifican los niveles de seguridad para todos los ficheros protegidos por la normativa de protección de datos, una de las principales novedades que el Ministerio de Justicia ha introducido en el último borrador sobre esta materia, al que ha tenido acceso EXPANSIÓN.
En el anterior documento, fechado en el mes de noviembre, el ministerio optó por establecer tan sólo dos medidas –generales y para ficheros con datos especialmente protegidos–. “De esta forma se consigue unificar la gestión de los datos personales dentro de la empresa ya que tanto los ficheros en papel como los automatizados tienen tres niveles de seguridad”, explica el socio responsable de Nuevas Tecnologías y Protección de Datos de Ecija Abogados, Carlos Sáiz.
El actual borrador de la Ley Orgánica de Protección de Datos, que se encuentra en trámite de audiencia a los interesados hasta el próximo 22 de mayo, también regula específicamente los plazos previstos para la adecuación de las empresas a las medidas de seguridad en ficheros automatizados y no automatizados.
Las empresas que cuenten con datos en papel de nivel básico tendrán un año para adaptarse al reglamento desde que entre en vigor, mientras que en el caso de los documentos de nivel medio el plazo se amplía a 18 meses y 24 meses cuando se trate de ficheros con un nivel alto.
En el caso de los datos informatizados, los plazos se mantienen respecto al anterior borrador: un año para los datos de nivel de seguridad básico y medio y de 18 meses para los de nivel alto.
Controles
Además de clarificar los plazos y los niveles, el reglamento mantiene las mismas exigencias de medidas de seguridad para las empresas. “Las compañías van a necesitar realizar más controles internos, así como clarificar y documentar las competencias de cada departamento, sus jerarquías y funciones” de acuerdo a los documentos basados en protección de datos, explica Sáiz.
Además, en los sucesivos borradores presentados subyace la necesidad de que existan evidencias que demuestren que se ha respetado la protección de datos de carácter personal, ya que es la empresa “quien debe demostrar que ha actuado conforme al reglamento”, añade Sáiz.
Las medidas de seguridad sobre documentos no informatizados son los que más polémica han suscitado debido al coste que puede suponer para las empresas. Por ejemplo, aquellos ficheros con un nivel de seguridad alto deben almacenarse en “armarios o archivadores y éstos, a su vez, deben estar en áreas donde se controle el acceso por medio de puertas dotadas de sistema de apertura mediante llave o dispositivos equivalentes. Además, el acceso a la documentación que contiene estos documentos debe limitarse a personal autorizado.
“El reglamento va a suponer una forma de organización distinta en las empresas”, explica Sáiz, al tener que designar un responsable de seguridad que además de supervisar los sistemas de protección de datos debe elaborar un documento de seguridad donde se detallen todos los procesos relativos a este tema. Además, el reglamento mantiene la obligación a las empresas de realizar auditorias cada dos años.
Justicia iguala los niveles de seguridad de los datos informáticos a los de papel
Publicado el 11/05/2007, por Carlos L. Abadía
Los datos en papel de carácter personal tendrán los mismos niveles de seguridad que los informatizados. Así, se unifican los niveles de seguridad para todos los ficheros protegidos por la normativa de protección de datos, una de las principales novedades que el Ministerio de Justicia ha introducido en el último borrador sobre esta materia, al que ha tenido acceso EXPANSIÓN.
En el anterior documento, fechado en el mes de noviembre, el ministerio optó por establecer tan sólo dos medidas –generales y para ficheros con datos especialmente protegidos–. “De esta forma se consigue unificar la gestión de los datos personales dentro de la empresa ya que tanto los ficheros en papel como los automatizados tienen tres niveles de seguridad”, explica el socio responsable de Nuevas Tecnologías y Protección de Datos de Ecija Abogados, Carlos Sáiz.
El actual borrador de la Ley Orgánica de Protección de Datos, que se encuentra en trámite de audiencia a los interesados hasta el próximo 22 de mayo, también regula específicamente los plazos previstos para la adecuación de las empresas a las medidas de seguridad en ficheros automatizados y no automatizados.
Las empresas que cuenten con datos en papel de nivel básico tendrán un año para adaptarse al reglamento desde que entre en vigor, mientras que en el caso de los documentos de nivel medio el plazo se amplía a 18 meses y 24 meses cuando se trate de ficheros con un nivel alto.
En el caso de los datos informatizados, los plazos se mantienen respecto al anterior borrador: un año para los datos de nivel de seguridad básico y medio y de 18 meses para los de nivel alto.
Controles
Además de clarificar los plazos y los niveles, el reglamento mantiene las mismas exigencias de medidas de seguridad para las empresas. “Las compañías van a necesitar realizar más controles internos, así como clarificar y documentar las competencias de cada departamento, sus jerarquías y funciones” de acuerdo a los documentos basados en protección de datos, explica Sáiz.
Además, en los sucesivos borradores presentados subyace la necesidad de que existan evidencias que demuestren que se ha respetado la protección de datos de carácter personal, ya que es la empresa “quien debe demostrar que ha actuado conforme al reglamento”, añade Sáiz.
Las medidas de seguridad sobre documentos no informatizados son los que más polémica han suscitado debido al coste que puede suponer para las empresas. Por ejemplo, aquellos ficheros con un nivel de seguridad alto deben almacenarse en “armarios o archivadores y éstos, a su vez, deben estar en áreas donde se controle el acceso por medio de puertas dotadas de sistema de apertura mediante llave o dispositivos equivalentes. Además, el acceso a la documentación que contiene estos documentos debe limitarse a personal autorizado.
“El reglamento va a suponer una forma de organización distinta en las empresas”, explica Sáiz, al tener que designar un responsable de seguridad que además de supervisar los sistemas de protección de datos debe elaborar un documento de seguridad donde se detallen todos los procesos relativos a este tema. Además, el reglamento mantiene la obligación a las empresas de realizar auditorias cada dos años.
LAS PYMES SON LAS PRINCIPALES INFRACTORAS DE LA LEY DE PROTECCION DE DATOS
www.expansion.com/edicion/exp/economia_y_politica/legal/es/desarrollo/963530.html
Las pymes son las principales infractoras de la Ley de Protección de Datos Publicado el 13/04/2007, por Carlos L. Abadía.
Las pymes constituyen el principal foco de incumplimiento de la normativa sobre protección de datos. Así lo reconoce el secretario de Estado de Relaciones con las Cortes, Francisco Caamaño, en respuesta reciente a un diputado de CIU sobre el nivel de conocimiento y cumplimiento que tienen las empresas de la Ley Orgánica de Protección de Datos (LOPD).
En el otro extremo, las grandes corporaciones son las que, “en términos generales, cumplen esta norma”, añade el documento. Caamaño justifica esta diferencia en que las grandes compañías, además de disponer de mayor volumen de protección de datos, cuentan “con herramientas más cualificadas para el tratamiento de datos personales”, lo que contradice lo que siempre se ha dicho desde la Administración en relación a las medidas que “incluye la norma no suponen un coste excesivo para las empresas”.
Situación semejante
Para Carlos Sáiz, socio responsable de Cumplimiento Regulatorio del despacho Ecija Abogados, la diferencia de cumplimiento de la ley entre las grandes empresas y las de menor tamaño también se traslada al ámbito público, porque las adminstraciones también están obligadas por la LOPD. “No es igual la gestión que se lleva en una Consejería de Sanidad que la de un ayuntamiento pequeño”, asegura.
Con la LOPD, entre otras tareas, las empresas tienen la obligación de notificar a la Agencia Española de Protección de Datos (AEPD) que han creado un fichero que contiene referencias personales, así como establecer mecanismos de control adecuados de los documentos de la misma condición en la empresa.
La AEPD es la encargada de velar por el cumplimiento de la ley y tiene la capacidad para actuar contra la empresa por vulnerar la ley. Esta actuación desemboca en una sentencia de un tribunal donde se impone una sanción. Estas sanciones se imponen por el tipo de datos vulnerados, así que las pymes y las grandes empresas pueden asumir multas de hasta 300.000 euros. “Pero esta cantidad es difícilmente asumible para una pyme”, opina Sáiz.
Hasta 2006, los tribunales han impuesto multas por valor de 23,16 millones de euros, lo que supone un crecimiento del 8,9% con respecto al año anterior, y del 34% en relación a 2002, primer año en que se tienen datos de las sanciones impuestas por el organismo. “La AEPD ha puesto especial énfasis en el control de la protección de datos en el sector financiero, de seguros, sanitario, telecomunicaciones y más recientemente el jurídico”, asegura Margarita Santa Cruz, responsable de Protección de Datos de la consultora Pyme Security Systems quien advierte que, además, “los proveedores de servicio de Internet también están el punto de mira de la agencia”.
El principal problema para que las pymes cumplan con lo dispuesto en la Ley es “la falta de concienciación de los empresarios de que la protección de datos implica una gestión diaria”, asegura Sáiz. A esto se le suma “la creencia de los empresarios de que con la notificación del fichero a la AEPD ya han cumplido la LOPD”, añade Santa Cruz. Además, los expertos detectan la falta de elaboración de un documento de seguridad, al que están obligadas las compañías, donde se establecen los procedimientos desarrollados para el tratamiento de datos personales.
Responsable
Otra dificultad más para las pymes es la designación de un responsable de seguridad que supervise estos procedimientos. “Normalmente, esa labor recae en el responsable informático de la compañía”, explica Santa Cruz. Pero muchas pymes tienen externalizado el departamento informático y no cuentan con un experto en su estructura, por lo que la designación del candidato se hace más difícil.
Además, las empresas suelen contratar a otra empresa, por ejemplo, la gestión de las nóminas. En estos procesos se manejan datos de carácter personal y las dos partes deben firmar un contrato donde se acuerda la gestión de los datos pero no la cesión. “Muchas pymes no tienen muy claro si están cediendo datos a la empresa o sólo la gestión”, explica Santa Cruz.
Las pymes son las principales infractoras de la Ley de Protección de Datos Publicado el 13/04/2007, por Carlos L. Abadía.
Las pymes constituyen el principal foco de incumplimiento de la normativa sobre protección de datos. Así lo reconoce el secretario de Estado de Relaciones con las Cortes, Francisco Caamaño, en respuesta reciente a un diputado de CIU sobre el nivel de conocimiento y cumplimiento que tienen las empresas de la Ley Orgánica de Protección de Datos (LOPD).
En el otro extremo, las grandes corporaciones son las que, “en términos generales, cumplen esta norma”, añade el documento. Caamaño justifica esta diferencia en que las grandes compañías, además de disponer de mayor volumen de protección de datos, cuentan “con herramientas más cualificadas para el tratamiento de datos personales”, lo que contradice lo que siempre se ha dicho desde la Administración en relación a las medidas que “incluye la norma no suponen un coste excesivo para las empresas”.
Situación semejante
Para Carlos Sáiz, socio responsable de Cumplimiento Regulatorio del despacho Ecija Abogados, la diferencia de cumplimiento de la ley entre las grandes empresas y las de menor tamaño también se traslada al ámbito público, porque las adminstraciones también están obligadas por la LOPD. “No es igual la gestión que se lleva en una Consejería de Sanidad que la de un ayuntamiento pequeño”, asegura.
Con la LOPD, entre otras tareas, las empresas tienen la obligación de notificar a la Agencia Española de Protección de Datos (AEPD) que han creado un fichero que contiene referencias personales, así como establecer mecanismos de control adecuados de los documentos de la misma condición en la empresa.
La AEPD es la encargada de velar por el cumplimiento de la ley y tiene la capacidad para actuar contra la empresa por vulnerar la ley. Esta actuación desemboca en una sentencia de un tribunal donde se impone una sanción. Estas sanciones se imponen por el tipo de datos vulnerados, así que las pymes y las grandes empresas pueden asumir multas de hasta 300.000 euros. “Pero esta cantidad es difícilmente asumible para una pyme”, opina Sáiz.
Hasta 2006, los tribunales han impuesto multas por valor de 23,16 millones de euros, lo que supone un crecimiento del 8,9% con respecto al año anterior, y del 34% en relación a 2002, primer año en que se tienen datos de las sanciones impuestas por el organismo. “La AEPD ha puesto especial énfasis en el control de la protección de datos en el sector financiero, de seguros, sanitario, telecomunicaciones y más recientemente el jurídico”, asegura Margarita Santa Cruz, responsable de Protección de Datos de la consultora Pyme Security Systems quien advierte que, además, “los proveedores de servicio de Internet también están el punto de mira de la agencia”.
El principal problema para que las pymes cumplan con lo dispuesto en la Ley es “la falta de concienciación de los empresarios de que la protección de datos implica una gestión diaria”, asegura Sáiz. A esto se le suma “la creencia de los empresarios de que con la notificación del fichero a la AEPD ya han cumplido la LOPD”, añade Santa Cruz. Además, los expertos detectan la falta de elaboración de un documento de seguridad, al que están obligadas las compañías, donde se establecen los procedimientos desarrollados para el tratamiento de datos personales.
Responsable
Otra dificultad más para las pymes es la designación de un responsable de seguridad que supervise estos procedimientos. “Normalmente, esa labor recae en el responsable informático de la compañía”, explica Santa Cruz. Pero muchas pymes tienen externalizado el departamento informático y no cuentan con un experto en su estructura, por lo que la designación del candidato se hace más difícil.
Además, las empresas suelen contratar a otra empresa, por ejemplo, la gestión de las nóminas. En estos procesos se manejan datos de carácter personal y las dos partes deben firmar un contrato donde se acuerda la gestión de los datos pero no la cesión. “Muchas pymes no tienen muy claro si están cediendo datos a la empresa o sólo la gestión”, explica Santa Cruz.
LA AGENCIA DE PROTECCION DE DATOS SANCIONA A VARIOS BROKERS DE SEGUROS
www.expansion.com/edicion/exp/mercados/es/desarrollo/961783.html
La Agencia de Protección de Datos sanciona a varios brókeres de seguros Publicado el 28/03/2007, por Elisa del Pozo.
La Agencia Española de Protección de Datos (AEPD) ha multado a dos corredurías y a una aseguradora por el uso indebido de los datos personales de clientes sin el consentimiento de los afectados. En otros casos, la Agencia ha rechazado denuncias recibidas
La multa más elevada es de 300.506 euros y recae sobre un bróker que en la resolución de la AEPD se identifica como Correduría de Seguros RFL, por la comisión de una infracción muy grave. La entidad sancionada ha recurrido la resolución ante la Audiencia Nacional.
Este procedimiento se inició con la denuncia de un particular que contrató un seguro de hogar con Reale a través de la correduría RFL. Tiempo después, Reale dio por cerrado el contrato con RFL y comunicó a este asegurado con dos meses de antelación el vencimiento de la póliza.
Paralelamente, el bróker contrató otro seguro de hogar con Fiatc, sin el consentimiento de la asegurada que luego presentó la denuncia, y domicilió los recibos en la cuenta del anterior seguro suscrito con Reale. Para ello, RFL cedió a Fiatc los datos de su cliente sin que esta “haya prestado su consentimiento para la realización del nuevo contrato”, señala la Agencia bajo el epígrafe de hechos probados. Fiatc pasó al cobro tres recibos de esta póliza.
La Agencia desestimó la argumentación de la correduría que manifestó en este proceso que comunicó a la asegurada denunciante en el momento de la rescisión de contrato de Reale él le daría “cobertura en otra aseguradora en condiciones y precio lo más similares posibles, salvo que usted nos indique lo contrario”.
En su opinión, su actuación fue para velar por los intereses de la asegurada, ya que ésta había contratado un servicio que consistía en dar cobertura indefinida con la aseguradora que el corredor estimase oportuna y, por tanto, era obligación del corredor ofrecerle otra póliza, ya que en caso contrario “hubiera incurrido en negligencia profesional”. Correduría RFL argumentó ante la Agencia de Protección de Datos que la sanción impuesta es desproporcionada ya que “no ha causado perjuicio a la asegurada” y el bróker actuó con “vistas a la protección del asegurado”.
Segundo bróker
El bróker Marsh, el segundo mayor en España, y la aseguradora Direct Seguros, filial de Axa, han sido sancionados también por la Agencia de Protección de Datos con una multa de 60.101 euros cada uno. Ambas entidades han recurrido esta resolución ante la Audiencia Nacional. Fuentes de la aseguradora y de la correduría mantienen que han seguido escrupulosamente la legislación y esperan que el recurso interpuesto les dé la razón.
En Marsh añaden que la resolución es un hecho puntual protagonizado por un asegurador de una cartera total de más de 4.000 clientes. En este caso la póliza estaba contratada inicialmente con Allianz que anunció una subida del precio del seguro por lo que el bróker Savoye, adquirido después por Marsh, encontró una oferta más ventajosa en Direct Seguros.
Esta entidad remitió al asegurado un documento de confirmación de solicitud y condiciones particulares de la póliza junto con la orden de domiciliación bancaria, sin que el asegurado hubiera dado su consentimiento para facilitar sus datos a Direct Seguros. Fuentes de esta entidad mantienen que el corredor es el representante legal del asegurado y que su actuación se ha ajustado siempre a la legislación.
La sanción impuesta a Marsh era en un primer momento de 300.506 euros, aunque sus argumentos convencieron a la Agencia para rebajarla hasta 60.101 euros. Esta correduría alega que no obtuvo ningún beneficio propio en la operación que ahora ha sido sancionada
La Agencia de Protección de Datos sanciona a varios brókeres de seguros Publicado el 28/03/2007, por Elisa del Pozo.
La Agencia Española de Protección de Datos (AEPD) ha multado a dos corredurías y a una aseguradora por el uso indebido de los datos personales de clientes sin el consentimiento de los afectados. En otros casos, la Agencia ha rechazado denuncias recibidas
La multa más elevada es de 300.506 euros y recae sobre un bróker que en la resolución de la AEPD se identifica como Correduría de Seguros RFL, por la comisión de una infracción muy grave. La entidad sancionada ha recurrido la resolución ante la Audiencia Nacional.
Este procedimiento se inició con la denuncia de un particular que contrató un seguro de hogar con Reale a través de la correduría RFL. Tiempo después, Reale dio por cerrado el contrato con RFL y comunicó a este asegurado con dos meses de antelación el vencimiento de la póliza.
Paralelamente, el bróker contrató otro seguro de hogar con Fiatc, sin el consentimiento de la asegurada que luego presentó la denuncia, y domicilió los recibos en la cuenta del anterior seguro suscrito con Reale. Para ello, RFL cedió a Fiatc los datos de su cliente sin que esta “haya prestado su consentimiento para la realización del nuevo contrato”, señala la Agencia bajo el epígrafe de hechos probados. Fiatc pasó al cobro tres recibos de esta póliza.
La Agencia desestimó la argumentación de la correduría que manifestó en este proceso que comunicó a la asegurada denunciante en el momento de la rescisión de contrato de Reale él le daría “cobertura en otra aseguradora en condiciones y precio lo más similares posibles, salvo que usted nos indique lo contrario”.
En su opinión, su actuación fue para velar por los intereses de la asegurada, ya que ésta había contratado un servicio que consistía en dar cobertura indefinida con la aseguradora que el corredor estimase oportuna y, por tanto, era obligación del corredor ofrecerle otra póliza, ya que en caso contrario “hubiera incurrido en negligencia profesional”. Correduría RFL argumentó ante la Agencia de Protección de Datos que la sanción impuesta es desproporcionada ya que “no ha causado perjuicio a la asegurada” y el bróker actuó con “vistas a la protección del asegurado”.
Segundo bróker
El bróker Marsh, el segundo mayor en España, y la aseguradora Direct Seguros, filial de Axa, han sido sancionados también por la Agencia de Protección de Datos con una multa de 60.101 euros cada uno. Ambas entidades han recurrido esta resolución ante la Audiencia Nacional. Fuentes de la aseguradora y de la correduría mantienen que han seguido escrupulosamente la legislación y esperan que el recurso interpuesto les dé la razón.
En Marsh añaden que la resolución es un hecho puntual protagonizado por un asegurador de una cartera total de más de 4.000 clientes. En este caso la póliza estaba contratada inicialmente con Allianz que anunció una subida del precio del seguro por lo que el bróker Savoye, adquirido después por Marsh, encontró una oferta más ventajosa en Direct Seguros.
Esta entidad remitió al asegurado un documento de confirmación de solicitud y condiciones particulares de la póliza junto con la orden de domiciliación bancaria, sin que el asegurado hubiera dado su consentimiento para facilitar sus datos a Direct Seguros. Fuentes de esta entidad mantienen que el corredor es el representante legal del asegurado y que su actuación se ha ajustado siempre a la legislación.
La sanción impuesta a Marsh era en un primer momento de 300.506 euros, aunque sus argumentos convencieron a la Agencia para rebajarla hasta 60.101 euros. Esta correduría alega que no obtuvo ningún beneficio propio en la operación que ahora ha sido sancionada
