San Fernando:El Ayuntamiento ha incumplido la Ley Orgánica de Protección de Datos.
La encuesta sobre la playa canina en Camposoto tiene la misma credibilidad que un chiste de risitas. No es que se haya quedado en la página el texto de la semana pasada, sino una reiteración desde el momento en que sólo se exigía el carnet de identidad del votante y había miles de carnet de identidad de personas expuestos al público en la web del Ayuntamiento.
Y además de que la encuesta no tiene fiabilidad alguna porque se presta a su manipulación, que era de lo que se hablaba la semana pasada, en ésta damos una vuelta de tuerca y decimos que el Ayuntamiento de San Fernando ha incumplido durante años la Ley Orgánica de Protección de Datos.
Efectivamente, las Administraciones pueden publicar datos personales de opositores o de cualquier persona a la que haya que comunicar el resultado posterior. Pero no lo puede hacer de forma discrecional.
Lo primero que tiene que hacer es pedir permiso expreso para la publicación de esos datos y nadie duda de que a quienes corresponden los miles de DNI y nombres que aparecen en la web municipal, lo permitieron por escrito.
Pero existen varias objeciones al método que se ha venido utilizando y se utiliza. Lo que se hace desde las Administraciones es obtener una autorización a través de un documento normalizado, que es algo así como la letra pequeña que rara vez lee el que va a pedir participar en un curso; menos si es remunerado. Y si va a pedir un curso remunerado o de formación, a lo que menos objeción va a poner es a poner una crucecita en la autorización sobre el uso de datos.
La gente es creyente
Aunque parezca mentira y en cuestiones de burocracia, la gente todavía cree en la integridad de las Administraciones, a lo que se une el hecho de que en España no existe una conciencia generalizada sobre lo que significan los datos personales y sobre todo, el uso que se puede hacer de ellos.
Hay que aclarar que lo que han leído no son reflexiones del arriba firmante, sino conclusiones de distintas agencias de protección de datos que vienen advirtiendo de los problemas de la aplicación de la LOPD, a las que se agregan los consejos correspondientes a las Administraciones para evitar perjuicios mayores, siempre en detrimento del ciudadano.
Pero vayamos primero a lo que dice la Ley Orgánica de Protección de Datos en su artículo 4 apartado 5. “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados”.
¿Cuándo se pueden dar por terminado el proceso por el cual han sido publicados, los fines para los que se ha obtenido el permiso del propietario de esos datos, que sólo pueden usarse -salvo excepciones que vienen al caso- para otros objetivos?
Pues justamente cuando, en el caso de un curso, han sido publicados, se han atendido las alegaciones que hubiera habido y se publica de forma definitiva el listado. Cuando el curso comienza, el proceso ha acabado y los datos tienen que ser borrados.
La página web del Ayuntamiento de San Fernando, que no ha brillado nunca por su eficacia y mantenimiento salvo en el portal de Facebook San Fernando Red Ciudad, que fue creado con fines informativos y se ha convertido en un perfil publicitario de las políticas del Gobierno de turno, mantiene listados desde hace más de un decenio, mientras que otros son del año pasado y de éste pero cuyos propósitos, en casi todos los casos, ya han sido cumplidos.
Procedimientos cerrados
Esa página, pues, debería estar limpia como una patena porque tal y como estaba la semana pasada incumplía la LOPD de todas todas, según el informe pedido por este periódico a los servicios jurídicos de Publicaciones del Sur SA, editora de Información y que además hemos contrastado con otros dictámenes de abogados especializados y de la propia Agencia de Protección de Datos a consultas de ciudadanos y entidades de todo tipo.
La excusa, pues, que usaron con inusitada rapidez los voceros del Gobierno a través de los comentarios de andaluciainformacion.es, coincidentes con el escrito remitido por el delegado de Presidencia, Conrado Rodríguez, a los medios de comunicación, sólo podía llegar de quienes entienden, comparten y practican la política de “y tú más”.
Decir que en otros ayuntamientos -no todos, que los hay muy cerca que ya han corregido esos errores- lo hacen y que los funcionarios son muy celosos del cumplimiento de la Ley, es una respuesta infantil en la primera parte.
El Ayuntamiento de San Fernando incumple la Ley Orgánica de Protección de Datos porque mantiene datos personales que ya deberían estar borrados y el resto de ayuntamientos, Junta de Andalucía y Agencia Tributaria incluida, la incumplen de la misma forma y las mismas causas.
¿Que los funcionarios son muy celosos de su trabajo? Nadie lo pone en duda. Lo que se pone en duda es si desde los ayuntamientos que incumplen la LOPD ponen a su disposición los medios necesarios para tener una web limpia de irregularidades, cuando no de delitos.
Hace años que las agencias de las Comunidades Autónomas de Madrid y País Vasco viene vertiendo a las Administraciones consejos extraídos de la práctica diaria de la Ley y entre ellos se encuentra uno que es crucial para garantizar los derechos de los ciudadanos.
Los datos que aparecen en las páginas de las web de las Administraciones, si no se han tomado las medidas oportunidad, son rápidamente indexados por los principales buscadores de internet, de forma que si el ayuntamiento en cuestión no ha tomado las medidas oportunas para evitar esa indexación, los listados seguirán en internet per secula seculorum.
Y todo el mundo sabe lo difícil que es borrar su rastro de internet. Mucho más cuando esos datos van en un fichero pdf con los datos de otros cientos de personas que no han solicitado su desaparición.
¿Cómo se puede evitar esa posibilidad? Habilitando mecanismos de bloqueo parcial de los boletines oficiales publicados en las sedes electrónicas de la Administración Pública, de acuerdo a la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos (“Ley de Acceso”).
Ley de Transparencia
Pero si ya de por sí era difícil cumplir con la LOPT, La Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno ha venido a complicarlo todo un poco más y en este caso se deja al sentido común de las Administraciones la comunión de ambas normas.
“En la mencionada Ley de Transparencia ya se contempla este choque entre leyes y se establece la colaboración entre autoridades para la “ponderación del interés público en el acceso a la información y la garantía de los derechos de los interesados cuyos datos se contuviesen en la misma”, dice la abogada de Global Legal Data, Júlia Bacaria Gea.
La citada letrada aún llega más lejos. “Se llega a la conclusión por parte de las autoridades que únicamente se podrán hacer públicos aquellos datos de carácter personal que sean necesarios para la finalidad prevista; es decir que la persona interesada sea informada.
Por lo tanto publicar datos como el nombre y apellidos y el DNI será considerado excesivo puesto que para que las personas que tienen que ser informadas se identifiquen en la publicación no son necesarios tantos datos.
Lo recomendable en estos casos será publicar por ejemplo con iniciales y en caso de que se considere que la información a publicar puede vulnerar los derechos de los interesados, se podrá hacer pública una mera mención del contenido del acto a publicar y dar opción a los interesados para que puedan tener acceso de forma privada a toda la información”....LEER NOTICIA COMPLETA.
Protección de Datos sanciona a Sanidad por no evitar el acceso al historial de un paciente.
Valencia es la tercera provincia con más expedientes sancionadores en 2015, según la memoria anual de la AEPD
La Agencia Española de Protección de Datos (AEPD) refleja en su memorial anual la sanción a un médico y a la Conselleria de Sanidad porque «no tiene incorporadas las medidas de seguridad adecuadas que impiden el acceso de no autorizados» a datos personales. En concreto, habla del caso de una denunciante a la que su exmarido, médico, accedió hasta en 496 ocasiones entre enero de 2013 y abril de 2014 a su historial clínico.
Según el informe, el facultativo no tenía encargada «la asistencia sanitaria» ni «justificación clínica asistencial», por lo que la conselleria «carece de un control efectivo de los accesos a la información recogida en el fichero de historias clínicas de sus pacientes». Como esta, en la Comunitat Valenciana hubo 270 reclamaciones de tutela de derechos en 2015, 73 más que en 2014 (197).
La AEPD inició 801 actuaciones previas en la Comunitat Valenciana en 2015, frente a las 772 de 2014. En la provincia de Valencia se llevaron a cabo 409 análisis para buscar indicios de posibles infracciones, 295 en Alicante y 97 en Castelló. En total, 8.043 en España.
La agencia puede llevar a cabo estos estudios de oficio o tras una denuncia ciudadana y, si se constata la mala práctica, acaban en sanción. En total, en la Comunitat Valenciana el año pasado hubo 68 investigados en procedimientos sancionadores. Valencia es la tercera provincia de España, con 35 casos, después de Madrid (569) y Barcelona (136), y seguida de Alicante y A Coruña (31), y Málaga (26). También han aumentado los ficheros que, por ley, cualquier entidad que gestione datos debe tener. En el ámbito privado, se ha pasado de 404.802 a 451.117; y en el público de 7.043 a 7.359.
La AEPD resolvió en 2015 casi 13.000 denuncias en toda España, un 15,7 % más que en 2014. Las consultas de los ciudadanos crecieron más de un 10 %, y el derecho de cancelación –para que las empresas no traten datos– es uno de los más reclamados por los ciudadanos. Los sectores más sancionados han sido telecomunicaciones (51 %), entidades financieras (17 %), empresas de suministro y comercialización de energía o agua (8,7 %), y el envío de spam (6,5 %)....LEER NOTICIA COMPLETA.
La sanidad triplica sus sanciones por infrigir la protección de datos
La Agencia Española de Protección de Datos revela en su informe que se trata de la tasa sectorial más alta
Incremento en el número de infracciones. La Agencia Española de Protección de Datos indica en su informe 2015 que el sector sanitario ha pasado de registrar tres resoluciones declarativas de infracción en 2014 a 10 durante el ejercicio siguiente, lo que representa un incremento interanual del 233,33 por ciento. Esta es la segunda tasa más alta, tras el 400 por ciento obtenido por comunicaciones comerciales por fax. Sin embargo, no es la actividad con mayor número de incumplimientos a la normativa.
Mientras sanidad ha registrado 10 infracciones, telecomunicaciones ha sumado un total de 270 resoluciones declarativas de infracción en 2015 (12,9 por ciento menos que en 2014). En la misma línea se encuentran las entidades financieras con 101 fallas (18,55 por ciento menos) y comunicaciones electrónicas comerciales con 89 (18,67 por ciento más que el año anterior). De esta manera, los que más han cumplido con la normativa son los partidos políticos, que no cuentan con ninguna resolución en su contra.
El número de advertencias en sanidad también ha incrementado durante el año pasado. El estudio indica que el número de procedimientos de apercibimiento resueltos ha sido de 11 casos, lo que representa un 175 por ciento más que los cuatro acometidos durante 2014 y 2013. Una vez más se trata de la segunda tasa más alta, justo detrás del 320 por ciento relacionados con las cookies.
l informe de la Agencia Española de Protección de Datos ha medido el total de actuaciones previas iniciadas (comprendidas por actuaciones de investigación incoadas por denuncia o de oficio, así como por las solicitudes de documentación adicional que no son subsanadas por el denunciante y el análisis de denuncias que finalmente no se admiten a trámite) donde sanidad ha logrado mejorar su marca. Si en 2014 el sector sanitario alcanzaba su pico más alto con 225 casos, ha logrado reducir el número en un 8,44 por ciento durante el ejercicio siguiente, hasta las 206 actuaciones previas.
En términos de evolución de consultas, el sector sanitario ha registrado un leve aumento al pasar de siete casos en 2014 a ocho durante el siguiente ejercicio. De esta manera, se ha posicionado al mismo nivel que otros sectores como las asociaciones profesionales o la banca y seguros. No obstante, aún queda una importante brecha en comparación con los 47 casos realizados por particulares o los 19 de asesorías y consultorías. Los tres aspectos más consultados son las cesiones (157 casos), ficheros públicos (104) y calidad de datos (87).
Los motivos detrás de las cifras
“En el sector de Sanidad se ha producido un incremento de las denuncias debidas a los accesos injustificados a las historias clínicas de los denunciantes. Se han declarado infracciones al hospital afectado por incumplimiento de las medidas de seguridad; y al autor de los accesos por desvío de finalidad”, explica el informe de la Agencia. Aunque no se tratan de los únicos casos.
El estudio precisa que “también se han investigado las denuncias presentadas sobre las actuaciones de las clínicas privadas como colaboradoras de las Administraciones Públicas sanitarias, resolviéndose que, al existir Conciertos entre las Administraciones sanitarias de cada Comunidad Autónoma y determinadas clínicas privadas, existe habilitación legal para la comunicación de datos entre los centros públicos y los privados”.
Sector privado
En el sector privado sanitario, el número de resoluciones declarativas de infracción pasaron de tres en 2014 a once un año después, lo que se traduce en un aumento del 266,67 por ciento en tan solo 12 meses. Según los datos publicados por la agencia, sería la tasa de crecimiento interanual más alta para este período, seguida por el cien por cien que han registrado los medios de comunicación y la documentación desecha sin destruir o borrar.
La inscripción de titularidad se ha caracterizado por contar con 32.791 ficheros en el ámbito sanitario privado, lo que representa un 11,08 por ciento más que el año anterior y que permite sumar un total de 296.009 ficheros. La Agencia Española de Protección de Datos indica sólo dos sectores cuentan con un mayor número de titulares con son las comunidades de propietarios (517.711) y el comercio (466.131). Es importante destacar que, desde el Ministerio de Sanidad, también se suman otros 580 ficheros por parte de la administración general.
Los ficheros de videovigilancia de titularidad privada también tienen peso en el sector sanitario. Si en 2014 había un total de 11.258 ficheros, la cifra ascendió en un 22,82...LEER NOTICIA COMPLETA.
Telecomunicaciones, finanzas y suministros, sectores que acaparan más sanciones por protección de datos.
Las empresas de telecomunicaciones (51% del total), las entidades financieras (17%), las empresas encargadas del suministro y comercialización de energía o agua (8,7%) y las comunicaciones electrónicas comerciales –spam- (6,5%), son las actividades que acaparan las sanciones de mayor cuantía impuestas por la Agencia Española de Protección de Datos (AEPD) durante 2015.
Sin embargo, mientras que estas cifras reflejan una notable disminución en comparación con las relativas a 2014 por lo que se refiere a telecomunicaciones (-34%) y suministros (-35%), ha aumentado el volumen declarado de las sanciones impuestas a entidades financieras (18,7%) y por infracciones por spam (que aumenta un 39%).
Así lo pone de manifiesto la Memoria 2015 que acaba de publicar la AEPD y de la que cabe extractar también los siguientes datos significativos:
Más denuncias presentadas y más reclamaciones resueltas
El análisis de esta actividad anual refleja un incremento en el número de denuncias y reclamaciones resueltas. Así, en 2015 se han resuelto 10.871 denuncias frente a las 9.404 resueltas en 2014 (+15,60%).
En cuanto a las reclamaciones de los ciudadanos para ejercer sus derechos de acceso, rectificación, cancelación y oposición (ARCO), se han resuelto 2.113 en 2015 frente a las 1.818 de 2014 (+16,23)....LEER NOTICIA COMPLETA.
Apple vs Silicon Valley, la lucha por la privacidad.
Apple vs Silicon Valley, la lucha por la privacidad
Apple se queda sola contra la oleada de recolección masiva de datos por parte de las grandes empresas tecnológicas. Usados con fines publicitarios y como fuente de alimento de complejos algoritmos, los datos de los usuarios son las pilas que alimentan las múltiples Matrix que operan en el mundo
Apple fue creada hace 40 años, pero ha sido en la última década cuando empezó a enfrentarse a un nuevo reto: cómo tratar la información privada de sus usuarios.
Hasta hace unos pocos años, y en un mundo donde el ordenador era el centro de la casa, la respuesta de Apple era proveer herramientas, pero el usuario se guisaba todo. Así orientó su plataforma ofimática, sus aplicaciones de edición de fotografías, vídeo o música. El usuario tenía su Mac, que era el centro de todo, y haría copias de seguridad en su Time Machine. El resto de sus dispositivos dependerían de un USB umbilical hacia el Mac.
Pero otros vientos se levantaban en Silicon Valley. La ubicuidad de las redes celulares, y el descenso constante de los precios del almacenamiento de datos hizo florecer empresas y servicios destinados a almacenar de forma externa nuestros datos. Nacía la nube como concepto empresarial y personal.
Apple tardó muchos años en dar una respuesta a los servicios de almacenamiento remoto de Dropbox, Google y otros
Como con tantas cosas, los precios empezaron a bajar de forma agresiva. Lo que empezó siendo ofrecido por 10 dólares al mes acabó siendo gratis por otros servicios. La similitud entre los servicios hacía fácil a la gente mover sus documentos entre los mismos. Dropbox, pionera en muchos aspectos, y que sigue siendo líder del mercado, está siendo asediada en su mercado no-corporativo por entidades como Google, que ofrecen mucho más y mucho más barato.
Volviendo a Cupertino, Apple tuvo que responder a esta nueva necesidad de contenido disponible siempre. Ya Steve Jobs sopesó adquirir Dropbox, pero al final, tras años por el desierto con medias tintas y servicios a medio cocinar, Apple ya tiene una plataforma decente, competente y completa para sus usuarios. Una de las más grandes del mundo además, y con una gran diferencia.
Privacidad diferencial.
La privacidad diferencial es un concepto computacional, dentro de la rama del cifrado de datos, adelantado por Cynthia Dwork y Aaron Roth ya en 2008. El dúo investigador está viendo desde hace un par de años como su trabajo académico se toma como base por empresas para tratar grandes cantidades de información de forma que cada dato no pueda ser identificado con un usuario individual. En una charla en 2013, la investigadora Katrina Ligett explica lo fácil que es saber a qué persona pertenecen unos datos aunque estén anominizados. Anonimizar nunca es suficiente.
Anonimizar no es suficiente. En el big data se puede llegar a identificar los datos de un usuario concreto, aunque estén anonimizados
Aplicar los algoritmos a esta forma extremadamente anónima de los datos, disminuye en ciertos aspectos la certeza de sus resultados. Es decir, que Apple tendrá más difícil identificar qué elementos hay en una fotografía que Google, que combina las fotos de todos sus usuarios para hacer que sus algoritmos aprendan. En la pasada WWDC, Craig Federighi sacaba el nombre de Aaron Roth y la privacidad diferencial en mitad del evento. Toda una declaración de intenciones. Por supuesto, la DP (por sus siglas en inglés) no es todo un campo de rosas, Matthew Green, experto en cifrado y profesor universitario, comentó la implementación de Apple, animando a la compañía a que haga públicos los métodos para que puedan ser evaluados.
Apple ejecuta sus algoritmos de forma individual, y lo hace en los propios dispositivos de sus usuarios. Los procesadores de los smartphone de hoy en día son capaces de mucho, y en general son infrautilizados en el día a día con aplicaciones sencillas y ligeras a nivel computacional (mensajería, redes sociales, música, etc).
El episodio de Apple contra el FBI que llenó los titulares hace unos meses, fue solo la punta visible del iceberg en una serie de frentes por la privacidad de sus usuarios.
Aunque de momento Apple no llevará iMessage a Android, iMessage/FaceTime comparte muchas funciones con los nuevos sistemas de mensajería anunciados por Google, Allo/Duo, tienen una diferencia clave. Las conversaciones están cifradas por completo y por defecto en el servicio de Apple, mientras que Google deja las suyas sin cifrar, ofreciendo el cifrado como una opción.
La decisión de Google no queda exenta de polémica, y tras el anuncio uno de los creadores de la plataforma criticó abiertamente a la empresa por no hacer el cifrado completo algo establecido por obligación. Y es que la diferencia es que Google necesita acceder —como intermediario— a los datos que el usuario le confía para ofrecer valor añadido a sus servicios. Incluyendo la publicidad basada en tus datos, su mayor negocio.
¿A los usuarios les importa? En una época en la que parece que nuestros datos están sentados esperando que alguien malintencionado acabe llegando a ellos, la actitud de la sociedad parece ser de preocupación cuando se le pregunta, pero laxa en la práctica.
Presidentes, cancilleres, diputados, ejecutivos y grandes empresas son rutinariamente hackeados. Cada semana, datos de millones de usuarios de redes sociales se ponen a la venta por un par de bitcoins. Si los datos no están totalmente anonimizados, cifrados en su transmisión y almacenamiento, así como desenlazados unos de otros, tus datos podrán ser interceptados y compartidos. Tan simple y tan claro.
Apple, por necesidad o por convicción, es la única gran empresa que se plantea así sus servicios a usuarios individuales
La otra alternativa, por supuesto, sigue siendo que cada uno defienda sus datos en su infraestructura. Tu servidor con tus correos, tus vídeos, evitar todo tipo de servicios no-cifrados, desarrollar tus elementos de Inteligencia Artificial que identifiquen los elementos de un documento, etc. Algo al alcance de pocas mentes.
Servicios como Google Maps o Google Photos ofrecen un gran juego de funcionalidades a cambio de nada. Son gratuitos. Pocos pueden competir contra estas estrategias de servicios que dan tanto valor, y menos si lo dan gratis.
De momento Apple, por necesidad o por convicción, es la única gran empresa que se plantea así sus servicios a usuarios individuales. No parece que sea suficiente para arrastrar grandes masas de usuario a que compren sus dispositivos, su mayor negocio, pero sí para trazar una línea en la arena y plantarse ante las prácticas del resto de la industria....LEER NOTICIA COMPLETA.