Protección de Datos abre expediente al Ayuntamiento por infringir la normativa

La agencia considera que el Consistorio mantiene hasta tres tipos de ficheros sin regulación legal y sin declarar en el Registro General

 

La Agencia Española de Protección de Datos ha decidido abrir expediente al Ayuntamiento de Benavente por una presunta infracción a la Ley de Protección de Datos por mantener hasta tres tipos de ficheros sin el respaldo de las correspondientes disposiciones legales y no declararlos en el Registro General de Protección de Datos.


Las denuncias y recursos presentados desde hace casi un año por el proyectista del Edificio Mercantil, Román Ávila, contra el Ayuntamiento de Benavente, se han saldado con un archivo tras otro, pero la acusación de que el Ayuntamiento benaventano mantienen ficheros de datos sin cumplir los preceptos legales ha terminado por calar en la AEPD que ha decidido investigarlo incoando un expediente por presunta infracción.


La Agencia considera que la difusión municipal de datos que afectan a Ávila y a su familia es lícita porque predomina el derecho a la información «veraz» a la ciudadanía, razón por la que ha desestimado los recursos de reposición. En concreto la Agencia considera que «en el presente caso, cabe proclamar que un ciudadano que es objeto de hecho noticiable de relevancia pública para los vecinos de la localidad y los hechos que se difunden son «veraces» como en el presente caso, tiene que resignarse a soportar que sus datos se hagan públicos».


Dicho esto y simultáneamente, la Agencia no deja de atender la queja que sobre los ficheros municipales han realizado de manera reiterada el proyectista y su familia. «Los recurrentes, también, afirman que solicitaron del Ayuntamiento de Benavente el acceso a los datos de que disponía el Ayuntamiento, y que tramitado el correspondiente procedimiento de tutela de derechos se emitió por la AEPD una certificación en la que se hace constar los ficheros en los que se incluían, parte se encuentran declarados al Registro de Protección de Datos y otros en ficheros no inscritos en el citado registro como fichero de expedientes recaudatorios de Apremio, de Licencias Urbanísticas y de Expedientes sancionadores», recoge la respuesta de la AEPD al primero de los tres recursos de reposición resueltos y contra el que ya no cabe más que la vía contencioso-administrativa.


A renglón seguido, la Agencia se pronuncia al respecto con claridad. «Está probado que el Ayuntamiento de Benavente mantiene ficheros de expedientes recaudatorios de Apremio, de Licencias Urbanísticas, de Expedientes sancionadores, de los que no consta se haya dictado la correspondientes disposición general, ni declarado al Registro General de Protección de datos, conducta que supone una infracción a la transcrita normativa sobre protección de datos, por lo que, habrá de iniciarse un Procedimiento de Declaración de Infracción a las Administraciones Públicas al Ayuntamiento de Benavente».


El artículo 20 de la Ley Orgánica de Protección de Datos establece, como recuerda la Agencia en su respuesta al recurso de reposición, que la creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o en el diario oficial correspondiente.


Además, las disposiciones de creación o de modificación de ficheros deberán indicar la finalidad del fichero y los usos previstos para el mismo y las personas o colectivos sobre los que se pretenda obtener datos de carácter personal que resulten obligados suministrarlos.


También deberá precisar el procedimiento de recogida de los datos de carácter personal, la estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo, así como las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros.


Por último, la disposición deberá hacer constar los órganos de las Administraciones responsables del fichero; los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición, y las medidas de seguridad con indicación del nivel básico, medio o alto exigible. Ninguno de estos aspectos han sido tenidos en cuenta por la Administración local benaventana.

El Supremo ordena al Opus Dei borrar de sus ficheros los datos de una ex miembro

La Prelatura asegura que «ya se ha enviado por correo a la demandante la certificación de que se han borrado sus datos».

 

El Tribunal Supremo ha ordenado al Opus Dei a cancelar los datos que figuran en su fichero correspondientes a una mujer que decidió darse de baja de la Prelatura Personal y a pagar hasta 3.000 euros en concepto de costas del juicio y abogado.

Así lo ha decretado la Sala de lo Contencioso-Administrativo en una sentencia relativa a un caso de protección de datos en el que la Audiencia Nacional ya se había pronunciado a favor de la demandante. Los hechos se remontan a agosto de 2006, cuando M.I.M., que había abandonado la organización religiosa, solicitó a la Prelatura del Opus Dei que borrara sus datos de todos los archivos.

Días después, la organización le respondió que «los únicos datos que se refieren a su persona son hechos históricos realizados voluntariamente que no pueden anularse», aunque apuntó que «en anotación marginal se hará constar su deseo de que no tengan trascendencia externa».

Ante la negativa, la demandante acudió a la Agencia Española de Protección de Datos (AEPD) que, tras estudiar el caso, dictó una resolución por la que instaba al Opus Dei a que, «en el plazo de diez días», remitiera a la reclamante una certificación en la que hiciera constar que «ha procedido a la cancelación de sus datos que contaban en sus archivos».

Acuerdos con la Santa Sede

En respuesta, el Opus Dei argumentó que el Acuerdo sobre Asuntos Jurídicos entre la Santa Sede y el Estado español de 1979, «protege la inviolabilidad de los archivos, registros y demás documentos de las instituciones y entidades eclesiásticas».

Para el Supremo, dicho acuerdo protege los archivos y registros «de cualquier intromisión procedente del Estado y resultan inviolables frente al mismo», pero esa inviolabilidad «no es predicable frente al ciudadano cuando ejercita su derecho fundamental» sobre sus propios datos personales.

 

La sentencia también rebate el argumento esgrimido por el Opus
Dei de que los datos no están contenidos en un soporte informático, como tampoco lo estaban los relativos a los libros bautismales que el tribunal no obligó a modificar en el caso de apostasías.

La diferencia es -según el Tribunal Supremo- que mientras que el Opus Dei tiene los datos organizados y clasificados hasta el punto de que son fácilmente localizables, los libros bautismales son «una pura acumulación de datos» que no están ordenados «ni alfabéticamente ni por fecha de nacimiento».

Por todo ello, el tribunal ha considerado que no ha lugar al recurso de casación presentado por el Opus Dei, a quien condena a pagar las costas del proceso, informó Efe. Fuentes de la organización religiosa han asegurado que acatan «plenamente» la sentencia y que, de hecho «ya se ha enviado por correo a la demandante la certificación de que se han borrado sus datos».

EEUU quiere que las agencias compartan datos de ciberamenazas.

 

Legisladores estadounidenses propusieron el miércoles luchar contra las ciberamenazas que están causando estragos en compañías del país permitiendo que las agencias de espionaje compartan información de inteligencia con firmas privadas.

El representante Mike Rogers, presidente republicano de la comisión de inteligencia de la Cámara de Representantes, y el demócrata C.A. "Dutch" Ruppersberger, anunciaron una legislación que pretende proteger a compañías estadounidenses de ciberataques por parte de países extranjeros y piratas informáticos particulares que permite que compartan información con organismos como la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés).

"Nuestras agencias de inteligencia recopilan información importante en el extranjero sobre avanzadas amenazas informáticas extranjeras que podrían ayudar considerablemente al sector privado", dijo Rogers.

"El Gobierno necesita poder compartir esta información de inteligencia sobre amenazas para que el sector privado puede proteger sus propias redes", dijo en la presentación pública del proyecto de ley.

Rogers ha sido muy directo a la hora de acusar a China de espionaje cibernético generalizado. Un informe de inteligencia publicado en noviembre acusó a China y Rusia de utilizar el espionaje cibernético para robar secretos comerciales y de tecnología de Estados Unidos.

"Corea del Norte acaba de atacar a un importante sistema bancario en Corea del Sur. Eso puede suceder hoy en los Estados Unidos de América", dijo Ruppersberger.

"Tendremos un ataque catastrófico en el próximo año, ya sea un ataque a un sistema bancario o a un sistema de red, esto va a pasar y tenemos que asegurarnos de que podemos protegernos", dijo.

La legislación tiene como objetivo ampliar al sector privado el tema de un programa piloto del Pentágono para el intercambio de información sobre amenazas clasificadas y sensibles con los contratistas de defensa y sus proveedores de servicios de Internet.

Empresas de defensa como Lockheed Martin han estado entre las víctimas de alto perfil de ataques cibernéticos. Otros incluyen a Google y Citigroup .

Los patrocinadores del proyecto de ley prevén, por ejemplo, que la NSA pueda compartir con proveedores de servicios de Internet información sobre los diferentes tipos de ciberamenazas que la agencia de inteligencia ha detectado para que el ISP puede bloquear entonces el tráfico a sus clientes desde cualquier cosa con esa firma

Real Decreto 1611/2011, de 14 de noviembre, por el que se modifica el Real Decreto 95/2009, de 6 de febrero, por el que se regula el Sistema de registros administrativos de apoyo a la Administración de Justicia. (BOE de 2 de diciembre de 2011) Texto completo.

 

El Real Decreto 1611/2011, tiene por objeto la modificación del Real Decreto 95/2009, de 6 de febrero, por el que se regula el Sistema de registros administrativos de apoyo a la Administración de Justicia.

Matiza la forma en que los interesados deben acreditar la personalidad y en su caso la condición de representante legal cuando soliciten acceso a la información contenida en el sistema de registros a efectos de su posible cancelación o rectificación.

El Real Decreto 95/2009, por el que se regula el Sistema de registros administrativos de apoyo a la Administración de Justicia puede consultarse en el Libro Segundo del Repertorio de Legislación Iustel.

REAL DECRETO 1611/2011, DE 14 DE NOVIEMBRE, POR EL QUE SE MODIFICA EL REAL DECRETO 95/2009, DE 6 DE FEBRERO, POR EL QUE SE REGULA EL SISTEMA DE REGISTROS ADMINISTRATIVOS DE APOYO A LA ADMINISTRACIÓN DE JUSTICIA.

Preámbulo

Por Real Decreto 95/2009, de 6 de febrero Vínculo a legislación, se reguló el Sistema de registros administrativos de apoyo a la Administración de Justicia, uno de cuyos objetivos fundamentales es proporcionar a jueces, fiscales, secretarios judiciales y policía judicial las herramientas necesarias para el ejercicio de las funciones que tienen encomendadas. Este real decreto venía a proporcionar además el necesario marco jurídico para la integración de los diferentes registros existentes mejorando así la calidad de la información y simplificando las tareas de los diferentes usuarios.

La regulación por primera vez de la responsabilidad penal de las personas jurídicas operada por la Ley Orgánica 5/2010, de 22 de junio Vínculo a legislación, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, incide de manera directa en la organización del sistema de registros que, para el mejor cumplimiento de la funciones ante señaladas, debe adaptar su funcionamiento al mandato derivado de estas normas, desarrollando las funcionalidades necesarias para incorporar a las correspondientes bases de datos la nueva información exigida. De acuerdo con la experiencia alcanzada durante el periodo de funcionamiento del Real Decreto 95/2009, de 6 de febrero Vínculo a legislación, por el que se regula el Sistema de registros administrativos de apoyo a la Administración de Justicia, parece igualmente aconsejable matizar la forma en que los interesados deben acreditar la personalidad y en su caso la condición de representante legal cuando soliciten acceso a la información contenida en el sistema de registros a efectos de su posible cancelación o rectificación.

El presente real decreto ha sido informado por el Consejo General del Poder Judicial, la Fiscalía General del Estado, la Agencia Española de Protección de Datos y el Consejo del Secretariado.

En su virtud, a propuesta del Ministro de Justicia, previa aprobación del Ministro de Política Territorial y Administración Pública, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día 11 de noviembre de 2011,

DISPONGO:

Artículo único. Modificación del Real Decreto 95/2009, de 6 de febrero Vínculo a legislación, por el que se regula el Sistema de registros administrativos de apoyo a la Administración de Justicia.

El Real Decreto 95/2009, de 6 de febrero Vínculo a legislación, por el que se regula el Sistema de registros administrativos de apoyo a la Administración de Justicia queda modificado como sigue:

Uno. El párrafo a) del artículo 8 queda redactado como sigue:

“a) Datos identificativos.

Nombre y apellidos del condenado, rebelde, sometido a medidas de seguridad o medida cautelar, alias en su caso, sexo, fecha de nacimiento, nombre de los padres, localidad, provincia, país de nacimiento, domicilio conocido, nacionalidad y documento nacional de identidad o NIE, pasaporte o tarjeta de identidad en el caso de los extranjeros, número ordinal informático policial y número de atestado.

En relación con las personas jurídicas se hará constar la razón o denominación social, nacionalidad, domicilio social y domicilio fiscal, actividad principal, tipo de sociedad, número o código de identificación fiscal y datos registrales.

En el supuesto de entes sin personalidad jurídica se hará constar denominación, número o código de identificación fiscal o cualquier otro dato que sirva para su identificación.

Cuando en una misma causa resulten condenadas personas físicas y personas jurídicas o entes sin personalidad se hará contar esta circunstancia en el Sistema de registros de apoyo a la Administración de Justicia.”

Dos. El artículo 9 queda redactado del siguiente modo:

“Artículo 9. Información contenida en la inscripción de sentencias firmes.

Cuando se trate de sentencias firmes que impongan penas o medidas de seguridad a personas físicas mayores de edad, penas a personas jurídicas o consecuencias accesorias a entes sin personalidad se inscribirán, además, los siguientes datos:

a) Fecha de la sentencia que imponga la pena o medida de seguridad.

b) Fecha de firmeza de la sentencia.

c) Órgano judicial sentenciador.

d) Condición de reincidente y/o reo habitual del condenado en su caso.

e) Órgano judicial de ejecución de la sentencia, en su caso.

f) Número y año de la ejecutoria.

g) Delito o delitos y precepto penal aplicado.

h) Pena o penas principales y accesorias, medida de seguridad y su duración y cuantía de la multa con referencia a su duración y cuota diaria o multa proporcional.

i) Fecha de comisión del delito.

j) Participación como autor o cómplice y grado de ejecución.

k) Sustitución de las penas o medidas de seguridad, en su caso.

l) Suspensión de la ejecución de las penas o medidas de seguridad, en su caso, fecha de notificación, así como plazo por el que se concede la suspensión.

m) Prórroga del auto de suspensión de las penas.

n) Fecha de la revocación del auto de suspensión de las penas o medidas de seguridad.

ñ) Fecha de la remisión definitiva de la pena, cumplimiento efectivo de la misma o prescripción.

o) Fecha del cese de la medida de seguridad.

p) Expulsión y fecha de la misma, cuando se acuerde como sustitución de la pena o medida de seguridad.

q) Cumplimiento.

r) Acumulación de penas.

s) Responsabilidad civil derivada de la infracción penal.

t) Resoluciones judiciales que se pronuncien sobre el traslado de la pena de acuerdo con el artículo 130.2 Vínculo a legislación de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.”

Tres. El artículo 10 queda redactado del siguiente modo:

“Artículo 10. Información contenida en la inscripción de medidas cautelares, requisitorias, autos de rebeldía o sentencias no firmes.

Cuando se trate de medidas cautelares, requisitorias, autos de rebeldía o Sentencias No Firmes impuestas a personas físicas mayores de edad y, en su caso, a personas jurídicas y entes sin personalidad se inscribirán, además, los siguientes datos:

a) Medidas cautelares, personales o reales y órdenes de protección en los procedimientos de violencia doméstica o de género, indicando fecha de adopción, de notificación al sometido a la medida u orden de protección y de cancelación y, en su caso tipo, contenido, ámbito y duración, así como sus modificaciones o sustituciones, y delito o falta objeto del procedimiento. En relación con las órdenes de protección se indicará la situación y origen de la solicitud.

b) Sentencias No Firmes indicando órgano enjuiciador, procedimiento, fecha de la misma y, en su caso, delitos o faltas declaradas, penas o medidas de seguridad impuestas, su duración o cuantía.

c) Órdenes de busca, indicando el órgano judicial que la acuerda, fecha de la misma, tipo de procedimiento, delito objeto del procedimiento, pena y duración de la misma.

d) Órdenes europeas de detención y entrega emitidas por las autoridades judiciales españolas.

e) Auto de rebeldía indicando fecha del auto y de su anulación.”

Cuatro. Los párrafos b) y c) del artículo 16 quedan redactados como sigue:

“b) Por el Encargado de los Registros integrados en el Sistema de registros administrativos de apoyo a la Administración de Justicia se informará a las autoridades de Estados extranjeros, en las formas y supuestos que determinen las normas comunitarias y los tratados internacionales de asistencia judicial en materia penal suscritos por España, acerca de las sentencia condenatorias firmes impuestas a personas físicas mayores de edad relativas a extranjeros o españoles de las que exista constancia y en su caso, a personas jurídicas y entes sin personalidad.

c) Por el Encargado de los Registros integrados en el Sistema de registros administrativos de apoyo a la Administración de Justicia, siempre que no se trate de información reservada a Jueces y Tribunales, se informará igualmente de los datos contenidos en las inscripciones de los Registros Centrales de Penados, de Medidas Cautelares, Requisitorias y Sentencias No Firmes, de Protección de las Víctimas de Violencia Doméstica y de Rebeldes Civiles, a instancia de cualquier órgano de las Administraciones Públicas ante el que se tramite un procedimiento en el que sea preceptivo este certificado para acceder a un derecho o adquirir una condición determinada con consentimiento del interesado, sea este persona física, jurídica o entes sin personalidad, manifestado directamente o a través de su representante, salvo que una norma con rango de Ley lo exceptúe. Dicha información se limitará únicamente a los datos relativos a la persona física, jurídica o ente sin personalidad interesado en el procedimiento.”

Cinco. Los apartados 2 y 4 del artículo 17 quedan redactados del siguiente modo:

“2. Las certificaciones podrán solicitarse respecto de uno o varios registros integrados en el sistema o respecto de todos ellos. Tratándose de personas jurídicas, entes sin personalidad o menores de edad la solicitud deberá efectuarse, en todo caso, por su representante legal. La certificación positiva contendrá la transcripción de los datos inscritos, tal y como obren en el Registro en el momento de su expedición, excluyendo las inscripciones que, conforme a una norma con rango de Ley, se hallen a disposición únicamente de los órganos jurisdiccionales.

4. Los titulares interesados podrán solicitar y recibir por correo el certificado correspondiente a sus datos personales o de la persona jurídica o ente sin personalidad de que se trate; en el caso de personas jurídicas y de los entes sin personalidad, la solicitud habrá de formularse por su representante legal. Mediante Orden del Ministro de Justicia se determinarán los requisitos y condiciones para que dichas solicitudes puedan tramitarse por vía electrónica.”

Seis. Los apartados 1 y 2 del artículo 18 quedan redactados del siguiente modo:

“1. La cancelación de las inscripciones se practicará de oficio, a instancia del titular interesado, o por comunicación del órgano judicial.

Corresponde al Ministerio de Justicia resolver el procedimiento para la cancelación de las inscripciones, cualquiera que sea la forma de iniciación del procedimiento.

2. Los titulares interesados podrán solicitar la cancelación o rectificación de sus datos contenidos en el Sistema de registros administrativos del Ministerio de Justicia de Apoyo a la Administración de Justicia. A estos efectos, dirigirán una solicitud en la que se hará constar, nombre y apellidos, filiación, localidad, provincia, fecha de nacimiento y documento nacional de identidad, NIE o tarjeta de identidad o pasaporte en el caso de extranjeros, todos ellos en vigor, acompañando al modelo de solicitud, original de los documentos anteriores o copia compulsada de los mismos. En el caso de personas jurídicas o entes sin personalidad, nombre y apellidos del representante, documento nacional de identidad, NIE o tarjeta de identidad o pasaporte en el caso de extranjeros, todos ellos en vigor, acompañando al modelo de solicitud, original de los documentos anteriores o copia compulsada de los mismos así como la documentación que acredite su condición de representante legal. En la solicitud deberá hacerse constar de manera obligatoria un domicilio a efectos de notificaciones. Mediante Orden del Ministro de Justicia, se determinarán los requisitos y condiciones para que dichas solicitudes puedan tramitarse por vía telemática.”

Disposición adicional única. Menciones al Registro Central para la Protección de las Víctimas de la Violencia Doméstica y de Género.

La menciones efectuadas en el Real Decreto 95/2009, de 6 de febrero Vínculo a legislación, al Registro Central para la Protección de las Víctimas de Violencia Doméstica se entenderán efectuadas al Registro Central para la Protección de las Víctimas de la Violencia Doméstica y de Género, conforme a lo dispuesto en el artículo 544.ter.10 de la Ley de Enjuiciamiento Criminal, en la redacción dada por el artículo segundo.sesenta y uno de la Ley 13/2009, de 3 de noviembre Vínculo a legislación, de reforma de la legislación procesal para la implantación de la nueva Oficina judicial.

Disposición final única. Entrada en vigor.

El presente real decreto entrará en vigor a los veinte días de su publicación en el “Boletín Oficial del Estado”.

TECNOLOGÍA

Un fallo en Facebook permite enviar mensajes en nombre de otro usuario

Facua recomienda no hacer pública la dirección de correo en los perfiles hasta que la red social solucione esta vulnerabilidad
 
Facua-Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra una investigación a Facebook por un fallo de seguridad que permite el envío de mensajes privados en nombre de otra persona.
Basta con conocer la dirección de correo electrónico asociada a la cuenta de la persona que va a ser suplantada, al que se puede acceder fácilmente desde su perfil en muchos casos, y el nombre de usuario del remitente fraudulento, disponible en la barra de direcciones (http://facebook.com/nombredeusuario).
Facua recomienda a los usuarios de la red social que mantengan oculto en su perfil el correo electrónico con el que se registraron hasta que se solucione esta vulnerabilidad. Aun así, todavía es posible obtener acceso al mismo desde algunas herramientas de importación externas.
Sólo en algunos casos se indica de manera casi inapreciable en la parte superior derecha del mensaje una pequeña señal de aviso de que no se puede confirmar que el mensaje sea de ese usuario. Desde la aplicación móvil de Facebook esta advertencia tampoco aparece, con el evidente riesgo que conlleva.
Facua considera que esta advertencia denota el conocimiento, por parte de Facebook, de que se está incurriendo en una irregularidad consentida por la empresa.
La asociación recomienda a los usuarios de esta red que se mantengan alerta ante mensajes sospechosos y que comprueben siempre que puedan la veracidad del mismo.
Posible vulneración del "principio de seguridad de los datos"
Facua ha demandado a la AEPD que determine si Facebook está vulnerando el "principio de seguridad de los datos", regulado en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por no contar con las suficientes medidas de seguridad en su red.
La norma establece en el citado artículo que "el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos".