Protección de Datos niega que se vulnere el derecho al secreto entre hospitales riojanos
El PP destaca que se haya archivado la denuncia realizada el año pasado por la asociación de consumidores Facua
La senadora del PP de La Rioja, Francisca Mendiola, ha constatado hoy que el Gobierno regional actuó de forma correcta en la transmisión de datos de pacientes a centros concertados.
Mendiola ha aludido, en una rueda de prensa, al archivo de la denuncia presentada hace un año por la asociación de consumidores Facua ante la Agencia Española de Protección de Datos, por una supuesta "vulneración del deber de guardar secreto" en la cesión de datos clínicos al centro concertado Los Manzanos.
Ha recalcado que la Agencia de Protección de Datos ha resuelto respaldando la actuación del Sistema Riojano de Salud en la utilización de información de pacientes por centros concertados y ha dado la razón al Gobierno regional.
En su opinión, "si un paciente es derivado a un centro concertado, nadie con seriedad y rigor puede pretender que no se facilite el acceso a los datos indispensables para que se pueda atender la intervención quirúrgica de ese enfermo".
Legislación aplicable en materia de protección de datos sobre borrado seguro de información
En primer lugar corresponde manifestar que la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), instaura una serie de principios y garantías, respecto al derecho fundamental reconocido constitucionalmente a la protección de datos personales (artículo 18.4 de la Constitución Española). Dicha ley impone un mandato legal de seguridad (artículo 9 LOPD), a todas aquellas empresas o entidades que intervengan en el tratamiento de datos y les obliga a custodiar la información de modo que no pueda ser accedida por personas o terceros no autorizados debidamente. Hace referencia a la legislación aplicable en cuanto al tratamiento y revelación de datos personales de un tercero sin previa autorización de la persona afectada o interesada (por ejemplo, publicar fotografías de un cliente en la página web de la empresa o difundir datos personales de un empleado de la empresa sin previa autorización de éstos, entre otros muchos casos).
Es necesario asimismo resaltar la doctrina jurisprudencial contenida en la STC 292/2000, de 30 de noviembre, que fija con claridad, precisión y exactitud el derecho a la protección de datos de carácter personal contemplado en el artículo 18.4 de la Constitución como un derecho fundamental diferente y autónomo de los derechos al honor y a la intimidad personal amparados en el artículo 18.1 de la propia Carta Magna Española.
También, es importante tomar en consideración que las empresas y entidades ya sean de naturaleza pública o privada y con independencia de su tamaño o volumen de sus recursos humanos, son responsables del total de los datos informatizados almacenados en sus equipos informáticos. Cada vez es más frecuente, que los trabajadores almacenen enormes cantidades de información en los discos duros de sus equipos informáticos, que en la mayoría de los casos, contienen asimismo datos personales o de carácter privado que les atribuyen cualidades de naturaleza confidencial. La eliminación de forma no segura de la información puede acarrear una posterior recuperación no autorizada, originando enormes perjuicios comerciales, de imagen y, también como no responsabilidades de tipo legal.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (RDLOPD) se encarga de desarrollar de forma completa la LOPD.
En concreto en el artículo 92.4 (gestión de documentos y soportes informáticos) se estipula lo siguiente: “siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior”.
El artículo 44. 3. h) de la LOPD tipifica como infracción grave mantener los ficheros, locales, programas informáticos o equipos informáticos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
Este precepto es reproducción literal del antiguo artículo 43.3.h) de la Ley Orgánica 5/1992 y debe ponerse en relación tanto con el artículo 9 de la LOPD (que recoge la vital necesidad de que de modo reglamentario se fije el catálogo de medidas de seguridad) como con el título VIII del Reglamento de la LOPD, en el cual se recogen las disposiciones generales sobre Medidas de Seguridad, como el catálogo de medidas aplicables a ficheros y tratamientos en relación directa a cada uno de los distintos niveles de seguridad: básico, medio y alto.
Las sanciones o multas por el incumplimiento de obligaciones legales en materia de protección de datos sobre borrado seguro de información pueden variar entre 40.001 a 300.000 euros (infracción grave), siendo la Agencia Española de Protección de Datos la entidad pública encargada de su aplicación. Por las diversas razones expuestas anteriormente, es de gran importancia realizar un borrado seguro de datos, no solamente porque atente directamente contra la privacidad de las personas (interesados o afectados) y la seguridad interna de las empresas, sino que, además, constituye una medida de seguridad de obligatorio cumplimiento cuando hace referencia a datos de carácter personal, según lo estipulado en la LOPD y el RDLOPD.
Por último comentar que diversas sentencias de la Sala de lo Contencioso de la Audiencia Nacional han contemplado supuestos de aparición de documentación en distintos tipos de soportes de empresas en contenedores de basura, y se ha sancionado por la aplicación del artículo 44.3.h) de la LOPD sobre la base del siguiente argumento: “resulta evidente que si documentos de uso interno de la entidad recurrente conteniendo datos personales y a los que sólo ella podía tener acceso, fueron encontrados en la vía pública y en un contenedor al alcance de cualquier viandante, es porque no se prestó la diligencia necesaria en orden a la efectiva observancia de las medidas de seguridad que se pretenden haber tomado, con lo que la protección en orden a la seguridad de los datos no fue eficaz, vulnerándose el artículo 9 de la LOPD y en definitiva el bien jurídico protegido por la infracción apreciada que es la seguridad de los datos”.
Mencionar que los tres únicos métodos existentes de borrado seguro de información (documentos o soportes informáticos) son los siguientes:
- La destrucción física del soporte.
- La desmagnetización del soporte.
- La sobre-escritura de la información.
Fuente: elderecho
Hackers hackeados: 400GB de datos filtrados, el CNI y la Policía Nacional supuestos clientes.
Quizás hayáis oído hablar o leído algo sobre Hacking Team, un grupo italiano de expertos en seguridad que se encargaba de desarrollar y vender herramientas de intrusión y monitorización a unos clientes muy singulares. No vendían esas soluciones a particulares o a empresas "malvadas", sino a gobiernos y agencias de seguridad e inteligencia.
Según CSO Online, este grupo ha sido hackeado y eso ha hecho que aparezca un fichero de 400 GB en diversos trackers Bittorrent en el que es posible encontrar documentos internos, el código fuente de varias herramientas y comunicaciones en forma de correos electrónico que exponen sus operaciones y que hacen que se haya revelado que entre sus clientes estaban supuestamente el CNI y la Policía Nacional de nuestro país.
Muchos países señalados
Los responsables de esa intrusión han hackeado también la cuenta de Twitter de Hacking Team -ahora parece recuperada de ese ataque-, han modificado el logo y su biografía y han publicado allí tuits con imágenes de los documentos filtrados. Según esos documentos algunos de los países que usaban esos servicios para espiar y monitorizar a otros gobiernos, empresas o personas eran Corea del Sur, Kazakhstan, Arabia Saudí, Omán, Líbano y Mongolia.
En Pastebin ya existe un documento con los supuestos clientes entre los que también estaban Etiopía -a quien se acusó de usar esas herramientas contra periodistas- Australia, Chile, Colombia, Ecuador, Egipto, Honduras, Malasia, México Rusia, Marruecos, Hungría, Luxemburco, Polonia y Estados Unidos, donde tanto el Departamento de Defensa como la DEA estaban registrados como clientes.
La empresa siempre ha negado las acusaciones de trabajar con "gobiernos sospechosos", pero como destacan en CSO Online, la aparición de Sudán en esa lista de supuestos clientes desmentiría esas afirmaciones: hay un embargo de las Naciones Unidas que afecta a la venta de todo tipo de armamento a ese país, y ya en febrero de 2014 se desvelaron más pistas sobre el uso del software RCS (Remote Control System, desarrollado por Hacking Team) por parte de Sudán.
Las filtraciones se desatan en Twitter
Como señalan en Motherboard, esta intrusión es similar a la que el año pasado tuvo lugar con FinFisher, una empresa de seguridad que también vendía soluciones para espiar las comunicaciones móviles o las transferencias de datos en Internet a gobiernos y agencias de seguridad en todo el mundo.
El valor de las facturas que se muestran entre los documentos filtrados asciende a más de 4,3 millones de euros, pero es posible que la cifra real de esos contratos sea mucho mayor: el contrato de 2010 entre Hacking Team y el CNI español muestra que tienen ese contrato en activo hasta el 31 de enero de 2016 y el coste total de ese periodo fue de 3,4 millones de euros.
Los miembros de Hacking Team han realizado algunas declaraciones en Twitter pero éstas han desaparecido -incluso la cuenta de uno de sus portavoces, Christian Pozzi-, y entre ellas está la afirmación de que ese fichero de 400 GB que ronda en las redes P2P está a su vez infectado con un virus que expondría los ordenadores de quienes trataran de descargarlo y abrirlo. En Twitter hay diversos mensajes que apuntan al uso de contraseñas especialmente débiles tras filtrarse el historial de contraseñas de Firefox del propio Pozzi. La cuenta oficial de Hacking Team en Twitter sigue sin mostrar actualizaciones sobre la situación del grupo en estos momentos.
Fuente: xataka
Protección de Datos acusa a Google de incumplir el ‘derecho al olvido’
El director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez, ha denunciado este jueves en Santander que el buscador Google incumple las sentencias del Tribunal Superior de Justicia Europeo (TJUE) sobre el ‘derecho al olvido’ de los ciudadanos porque “no bloquea los datos” de las personas físicas en su servidor mundial (Google.com), aunque sí lo hace de los nacionales (Google.es, en el caso de España).
Así, ha considerado “inaceptable” este comportamiento de Google, pero también ha aclarado que “no se trata de la extraterritorialización” del ‘derecho al olvido’ fuera de los países europeos, sino de que “no se pueda eludir” la obligación del cumplimiento de la sentencia del TJUE, tal y como ha asegurado esta tarde en el encuentro ‘Retos de protección de datos en las sociedades actuales’, que se está celebrando esta semana en la Universidad Internacional Menéndez Pelayo (UIMP).
El ‘derecho al olvido’ es el derecho de cualquier persona física a solicitar a los buscadores de Internet que no indexen enlaces con información personal suya, siempre y cuando no tenga relevancia pública ni sea de interés.
En este sentido, Rodríguez Álvarez ha reconocido que con esta medida “obviamente” no se impide el acceso a la información de las personas físicas desde cualquier punto del mundo, y que “incluso alguien con conocimientos especializados utilizando un proxy, podría acceder a la información”.
“No es la solución perfecta, pero es la que más se aproxima. No tenemos otra, salvo borrar el original, pero borrar el original es una cuestión distinta. Esto afecta mucho a la libertad de expresión y afecta al derecho de acceso a la información”, ha relatado el director de la AEPD. A este respecto, ha reivindicado que la AEPD “siempre ha buscado la solución que suponga el menor impacto en el derecho a la información”.
En este sentido, ha defendido que “no se deben tocar las fuentes” de la información, ya que “tienen que permanecer intactas salvo que por las razones que tradicionalmente venimos aplicando a los límites de la libertad de expresión, se hayan rebasado” estos límites. “Una cosa es la publicación y otra es la difusión de esa información”, ha sostenido.
Por su parte, el presidente de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, Eduardo Méndez Rexach, ha asegurado que Google “tiene el monopolio de casi todos los buscadores, pero hay unos pocos” que no pertenecen a esta compañía. Durante su intervención en el encuentro ‘, Rexach ha aclarado que la jurisprudencia sobre el ‘derecho al olvido’ es reciente y que “se debe garantizar su cumplimiento en toda la Unión Europea”.
“Ahora somos más conscientes de la repercusión de la gestión de los datos personales. Estamos reaccionando ante las consecuencias reales”, ha afirmado, al tiempo que ha incidido en que el “primer impulso” para que se cumpla este derecho –que, según ha matizado, se trata en realidad de la unión de los derechos de acceso, modificación, cancelación y oposición–, debe ser de los ciudadanos y que “después ya actuarán los tribunales”.
Fuente: diariodeavisos
La reforma de protección de datos "incrementará la confianza en la economía digital" de Europa, según Vera Jourová, comisaria europea de justica, consumidores e igualdad de género.
Vera Jourová se ha referido a la reforma de protección de datos que pretende aprobar la Comisión Europea a finales de este año, tras las negociaciones a tres (el Consejo Europeo, el Parlamento Europeo y la Comisión Europea) que comienzan esta semana. En este sentido, Jourová ha asegurado que ésta es “la clave” para la creación del mercado único digital y conlleva “una serie de beneficios tanto para los ciudadanos como para las empresas”.
La reforma de protección de datos “incrementará la confianza en la economía digital” de Europa, “proveerá a las empresas de unas normas modernas y comunes que se aplicarán a todos los proveedores de servicio en la Unión Europea” y eliminará “formalidades innecesarias como los procedimientos de notificaciones, reduciendo los costes y aplicando conceptos modernos como la privacidad”. Será, además, “tecnológicamente neutral y no cierra la puerta a futuras innovaciones”.
Vera Jourová ha remarcado el hecho de que ésta será una única normativa “que se aplicará en los 28 países de la misma manera, reforzando los derechos de los ciudadanos que tendrá el control total de sus datos”.
La reforma de la protección de datos “continúa siendo tan urgente como lo fue hace tres años cuando la Comisión presentó por primera vez la propuesta”. Jourová ha recordado que “el uso de Internet se ha incrementado en los últimos años” algo que ha desembocado en que “la preocupación de los ciudadanos por la seguridad y la privacidad también haya crecido. La confianza es clave, se traduce en euros y en céntimos, tenemos que reconstruirla para que nuestro mercado único digital sea un éxito”.
Fuente: ituser