La Agencia Española de Protección de Datos (AEPD)  ha recibido 418 notificaciones por brechas de seguridad de organizaciones desde la aplicación del reglamento europeo de protección de datos el 25 de mayo que recoge multas millonarias para las empresas que no custodien la información personal que manejan.

De esas notificaciones, sólo 11 han pasado a la subdirección de Inspección, por requerir una investigación adicional. 

Las brechas de seguridad son definidas por el propio reglamento de protección de datos europeo como "violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración de datos personales" que poseen las empresas y que pueden corresponder a sus clientes, proveedores o trabajadores.

 

El objetivo de esta normativa es garantizar una mayor privacidad al usuario en el actual entorno digital cuya intimidad resulta más vulnerable por el uso de internet y potentes tecnologías que permiten identificar fácil y rápidamente a las personas a partir del análisis en tiempo real de los millones de datos dispersos en la red.

Las brechas de seguridad pueden producirse por fallos del sistema informático de las organizaciones, por incidentes inesperados o por el robo o extracción de información por parte de cibercriminales e incluso de los propios trabajadores de la empresa con fines de extorsión para beneficio económico u otros.

Precisamente en las últimas horas se ha hecho público un nuevo caso de quiebra de seguridad, tras conocerse que la cadena hotelera Marriott ha detectado "un acceso no autorizado" a su base de datos de clientes, que contiene información de 500 millones de personas.

Uno de los casos más polémicos de fuga de datos ha sido el de Cambridge Analytica, por el que la consultora extrajo información personal no sólo de los usuarios de Facebook sino también de sus amigos a causa de un error en la aplicación de la red social y los usó de forma indebida con fines políticos.

 

Para reforzar la protección de ese tipo de información al menos en Europa, el nuevo reglamento sobre privacidad ha extendido la obligación de notificar por parte de las organizaciones este tipo de incidentes a la autoridad competente que en el caso español es la AEPD.

Previamente esta exigencia se ceñía exclusivamente a los operadores de servicios de comunicaciones electrónicas y a prestadores de servicios de confianza, y de hecho, en el período del año pasado desde el 25 de mayo hasta el primero de diciembre fueron solo cuatro las notificaciones en España por quiebras de seguridad, según la AEPD.

La normativa europea exige a las empresas que gestionan información personal comunicar el suceso en un máximo de 72 horas desde que tengan conocimiento del mismo salvo si fuera improbable que la brecha de seguridad supone riesgo para los derechos y libertades de las personas físicas. Además el responsable del tratamiento de datos debe informar asimismo a los afectados con lenguaje claro y sencillo y de forma concisa y transparente en caso de que el incidente entrañe alto riesgo para los derechos y libertades de las personas -por ejemplo en caso de acceso ilícito a datos de usuarios y contraseñas de un servicio. 

El hecho de notificar una brecha de seguridad no implica el inicio de un procedimiento sancionador para la compañía, ni tiene por qué acabar con una sanción. La decisión dependerá finalmente del nivel de responsabilidad de la organización y de si ésta había adoptado medidas para evitar el incidente bajo el principio de responsabilidad proactiva que incluye el reglamento. 

 

agencia de proteccion de datos

 

Fuente: lavanguardia

La Agencia Española de Protección de Datos (AEPD) ha avisado este jueves a los partidos políticos que "no se va a permitir el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas, y no se va permitir el envío de información personalizada basada en perfiles ideológicos". La directora de este regulador independiente con capacidad sancionadora, Mar España, ha querido aclarar la interpretación que la Agencia hará de la nueva Ley Orgánica de Protección de Datos que se aprobó ayer en el Senado.

España ha asegurado en una reunión informativa que la aplicación de la norma por parte de la AEPD será "la más garantista posible" en lo referente a la posibilidad de generar bases de datos con información ideológica de los ciudadanos. El órgano, encargado de interpretar y aplicar la ley, entiende que esta no autoriza a los partidos a llevar a cabo esta práctica y anuncia que adoptará una actitud "extremadamente rigurosa y vigilante" para impedirla. En esta línea, ha advertido que puede sancionar a los partidos que la lleven a cabo con hasta 20 millones de euros.

"La Agencia no va a valorar si está bien redactado o no, aunque lo que sí trasladó la Agencia durante las negociaciones fue que quizá el marco más adecuado para una modificación de ese calado no era el marco de la protección de datos", ha revelado este jueves España.

La AEPD afirma que el rastreo de las redes sociales y páginas web por parte de los partidos solo podrá ser usado para "pulsar la opinión pública" de forma anónima, pero que estos no podrán utilizar esa información para enviar propaganda personalizada.

Los partidos podrán enviar propaganda al móvil aunque nunca les hayas dado tu número  

Lo que ha reconocido España es que ni la interpretación más garantista de la ley por parte de la AEPD podrá impedir que los partidos rastreen las redes hasta encontrar los datos de contacto de los ciudadanos, como el número de teléfono o email, y se pongan en contacto con ellos sin su consentimiento previo. 

Esta práctica esta prohibida para el resto de empresas y organizaciones, que no pueden enviar propaganda si no existe una relación contractual previa y el ciudadano está de acuerdo. Con la modificación de la ley electoral vía ley de protección de datos aprobada este miércoles en el Senado,  los partidos han añadido una excepción para sí mismos que les permite el envío de spam durante las campañas electorales a partir de datos que encuentren en Internet.

¿Cuál es la justificación de esta excepción? "Eso tendrán que preguntárselo a los partidos que han negociado la ley, a la Agencia solo le corresponde interpretarla", ha contestado España. La directora de la AEPD sí ha querido reseñar que los partidos tendrán la obligación de garantizar una manera sencilla y efectiva para oponerse al envío de esa publicidad electoral. 

Los Tribunales tendrán que decidir 

Sobre la posibilidad de que la Agencia lleve a cabo otra interpretación de la ley cuando cambie su dirección (el mandato de España concluye en 2019) y permita a los partidos llevar a cabo las actuaciones que ahora les negará, España ha opinado que "para entonces ya habrá un posiciamiento jurídico firme".

La directora de la AEPD confirma así la previsión de muchos juristas, que explican que la ley terminará en los tribunales. Unidos Podemos anunció este miércoles que recurrirá la ley al Tribunal Constitucional, mientras que hoy se han unido a esa voluntad organizaciones como la Asociación de Usuarios de Internet.

AEPD Mar España

Fuente: eldiario

La Agencia de Protección de Datos sanciona con 5.000€ a un médico tras perder imágenes de una paciente en una operación

La Agencia Española de Protección de Datos ha sancionado con un importe de 5.000 euros a una facultativo por extraviar las imágenes grabadas durante una intervención quirúrgica a una paciente en un hospital privado de Madrid en 2014.

Así consta en una resolución, tras el recurso tramitado por la asociación 'El Defensor del Paciente' a través del letrado Carlos Sardinero en representación de la afectada.

"Se tiene en cuenta que en esta ocasión que no hay constancia de actuación intencionada, si bien no cabe duda de que incurrió en una grave falta de diligencia", expone el órgano que ve acreditada la infracción sobre la ley de Protección de Datos.

 

También entiende que estas imágenes no suponían un volumen de datos de elevado volumen para justificar la pérdida y recalca que no se produjo ningún beneficio económico a través del extravío de esta información que se incluye en la historia clínica digital de los pacientes.

"En el presente caso ha quedado acreditado que el denunciado carecía de las medidas de seguridad que la Ley exige al responsable del fichero, al no posibilitar el ejercicio del derecho de acceso de su paciente a los datos de la historia clínica", insiste la resolución.

Con esta resolución por fin se reconoce que las imágenes grabadas de cualquier intervención forman parte de la historia clínica, aunque se recojan con fines docentes o de investigación. 

La paciente relató que fue sometida a una intervención quirúrgica por un traumatólogo de un centro privado que fue grabada en vídeo. Posteriormente, con el fin de contrastar distintas opiniones de facultativos sobre el resultado de la intervención, solicitó las imágenes grabadas pero el traumatólogo, mediante correo electrónico, le comunicó que no las encontraba porque sus hijos habían perdido varios pendrive donde posiblemente estuviera recogida la intervención.

Durante el procedimiento el médico denunciado manifestó que la sanción había prescrito y que la grabación de una operación no forma parte de la historia clínica, más si las imágenes se toman con fines docentes y científicos.

 

"No puede aceptarse por tanto lo alegado por el denunciante sobre que las grabaciones no se entregan al paciente ni se unen a su historia clínica, por el mero hecho de que no existe obligación de realizarlas", expone la Agencia de Protección de Datos.

El abogado Carlos Sardinero ha manifestado tras la resolución que los facultativos "deben conocer que cuando se pierde parte de la historia clínica es motivo de sanción por vía de Agencia de Protección de Datos, pero es preciso advertir de que, a la vez, también es motivo de responsabilidad civil por daños y perjuicios, como lo demuestran los últimos pronunciamientos judiciales estimados a su despacho".

 

dvb

 

Fuente:lavanguardia

La AEPD y OCU ya lo han advertido: Los juguetes que se conectan a internet, recopilan información sobre nuestros hijos 

Un juguete conectado es aquel que intercambia información con otro soporte y que suele requerir la instalación de una aplicación en un móvil o tableta. Este producto suele registrar imágenes y sonidos y enviarlos directamente a internet con lo que esta información se procesa al otro lado de la Red y el resultado vuelve al propio juguete para crear así un mecanismo de interacción y respuesta a las acciones del niño. «Los juguetes conectados no son inseguros en principio, pero los padres deben comprobar qué datos recoge el juguete y para qué los va a utilizar», asegura la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, durante la presentación de unos serie de recomendaciones para impulsar la compra segura en internet con motivo del «Black Friday» y la próxima campaña navideña.

En este contexto, la AEPD recomienda que los progenitores investiguen qué datos recoge el juguete y cuál es su destino final, así como la forma en que se protegen esos datos, dónde se almacenan y si se van a enviar a terceros.

Para que los usuarios puedan informarse antes de comprarlos, desde la AEPD aconsejan que se pregunte al personal del establacimiento donde se vaya a adqurir el juguete; revisar el manual de instrucciones y localizar la política de privacidad; descargar la aplicación y revisarla antes de hacer la compra y visitar la web del fabricante y buscar opiniones de otros consumidores sobre el juguete en la web. Tambien aconsejan optar por productos que ofrezcan información completa e identifiquen de forma clara cuándo se está grabando la voz del niño.

Desde la OCU también han advertido en varias ocasiones sobre los riesgos de estos juguete ya que pueden contar con wifi propio a la que se accede sin contraseñas y «en según qué manos puede resultar peligroso». «Además, desgraciadamente hoy en día no existen leyes que regulen este tipo de seguridad y son los consumidores, en este caso menores de edad quienes resultan más perjudicados», alertan desde la asociación de consumidores.

juguetes conectados kIUB 620x349abc

Fuente: abc

 

Dentro de la lista de preguntas que más veces se realizan los integrantes de las comunidades de propietarios sobresale una que tiene mucho que ver con las dudas que suscita la instalación de cámaras de seguridad o videovigilancia. ¿Se puede hacer uso de estas tecnologías en las zonas comunes de un edificio? La respuesta es un sí categórico, pero para poder instalarlas es necesario contar con el voto favorable de las 3/5 partes de la totalidad de propietarios, que a su vez representen las 3/5 partes de la cuota de participación, según lo recogido por la Ley de Propiedad Horizontal. No obstante, si la instalación supone un complemento al servicio personal existente como los vigilantes de seguridad, será suficiente la mayoría simple.

 

comunidad de propietarios aepd

 

La comunidad debe tener en cuenta el criterio facilitado por la Agencia Española de Protección de Datos (AEPD). Para ello, hay que cumplir tres requisitos:

  • Que las cámaras sean útiles al fin deseado (para evitar vandalismo y robos).
  • Que la metodología usada con el objetivo de lograr el fin deseado sea la más moderada o la menos invasiva.
  • Que la medida de instalación de una cámara aporte más beneficios que inconvenientes a la comunidad.

Una vez que la comunidad de propietarios esté segura de cumplir con estos criterios deberá dar de alta el fichero ante la AEPD. Asimismo, hay una serie de apreciaciones de las que los vecinos tienen que ser conscientes:

  • Definir bien las zonas de vigilancia en las que se colocarán los carteles correspondientes de la existencia de las mismas.
  • El grabador de imágenes debe estar en un lugar protegido.
  • Las grabaciones han de realizarse en modo local y no a través de Internet.
  • El acceso a la grabación tendrá que tener siempre una contraseña.
  • Únicamente la persona autorizada y designada por la comunidad de propietarios accederá a la visualización y recuperación de las imágenes.
  • Los datos de las grabaciones podrán ser guardados por la comunidad durante el plazo de un mes. Una vez finalizado, las imágenes tendrán que borrarse.

Llegados a este punto, conviene tomar la decisión adecuada a la hora de elegir correctamente la compañía que pueda asistir a las comunidades para colocar las cámaras. En este sentido, los expertos en la materia insisten en la importancia de contar con una empresa de seguridad homologada por el Ministerio del Interior, así como de cumplir con el Reglamento de Seguridad Privada. Nosotros queremos dejar constancía de que sí somos una empresa homologada por el Ministerio del Interior y nos asignaron el número 3616 de la Dirección General de Policia el cuál veís siempre en nuestro logo.

Para contactar con nosotros podéis venir a nuestras oficinas en la calle Camí Can Frontera, 26B, en Pla de na Tesa, en Marratxí, o bien podéis llamarnos al 971607952, o también por correo electrónico en Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Fuente: laopiniondemurcia