Ver nota de prensa de la APD de fecha 19 mayo 2010: http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/mayo/100519_NP_GOOGLE_WIFI_WEB.pdf

Es ahora, cuando la APD abre el procedimiento sancionador contra Google, al constatar la existencia de indicios de la comisión de dos infracciones graves y tres muy graves de la ley de protección de datos, como la captación y almacenamiento de datos personales sin consentimiento. Se ha verificado la captación de datos de localización de redes wifi con identificación de sus titulares, y de datos personales de diversa naturaleza del contenido de las comunicaciones como: direcciones de correo electrónico -con nombre y apellidos-, mensajes asociados a dichas cuentas y servicios de mensajería, o códigos de usuario y contraseñas, entre otros. Y que estos datos se han transferido por parte de Google a EE UU sin garantías de protección de la privacidad.

No obstante, el expediente sancionador queda paralizado a la espera de que el Juzgado de Instrucción Nº 45 de Madrid resuelva sobre la captación de datos de redes wifi por los coches de Street View.

Este procedimiento penal se inició a raíz de una denuncia interpuesta por el presidente de la asociación (APEDANICA) por la vulneración del artículo 197 del Código Penal, que castiga con penas de uno a cuatro años de cárcel la interceptación de las comunicaciones de terceros sin su consentimiento.

Una vez que recaiga resolución judicial, la APD reanudará el procedimiento administrativo en la fase de instrucción del mismo, en la que la compañía contará con un plazo para formular alegaciones o presentar pruebas.

Es muy habitual enviar emails a varios destinatarios, incluyendo sus direcciones de correo en el apartado “PARA” de nuestro gestor de correo, de manera que todos los destinatarios saben a que personas se les ha enviado dicho correo, lo cual, en principio no tendría por que suponer un problema para los mismos. Sin embargo, pensemos en una empresa que envía un email rechazando las aspiraciones de posibles candidatos a optar a un puesto de trabajo, en este caso, la persona rechazada e incluida en este correo electrónico podría incomodarse por el hecho de que el resto de candidatos conozcan que ha solicitado dicho empleo, su cuenta de correo y además, que ha sido rechazado.

Introduciendo los correos electrónicos en el campo de copia oculta (CCO en español y BCC si se utiliza un programa en inglés) se evita que los destinatarios sepan a quien se ha enviado el mensaje, mientras que las direcciones incluidas en los campos para y CC son visibles para todas las personas que reciban el e-mail.

Para: que es a quien va dirigido el correo
CC: (Con Copia), que es a quien se envía una copia de correo
CCO o BCC: (Con Copia Oculta) que es a quien se envía una copia de correo.

Empresas como la inmobiliaria Sánchez Romero  o la empresa de recursos humanos Human Management ya han sido sancionadas por la APD al entender esta que con esta forma de enviar correos electrónicos se vulnera el "deber de secreto" contemplado en el artículo 10 de la Ley Orgánica.

Se trata de una obligación legal cuyo incumplimiento acarrea graves sanciones económicas que podrían llevar al cierre a muchas empresas en el caso de ser sancionadas. Y es que la sanción no depende del tamaño de la empresa, sino del precepto vulnerado, de manera que es posible que un pequeño laboratorio dental, que puede tratar datos personales de nivel alto de protección, sea sancionado con una multa de hasta 600.000 euros, lo cual, evidentemente, supondría la ruina del negocio.

Sin embargo, no solo es obligatorio cumplir con la normativa, sino  recomendable de cara a captar y fidelizar clientes, ya que vivimos en la sociedad de la información, donde esta, circula libremente y la mayoría de las veces sin control, por lo que se hace necesario establecer unos filtros tanto personales e individuales, a la hora de comunicar nuestros datos personales a terceros, como institucionales y empresariales, para delimitar y vigilar el uso que estos agentes hacen de nuestros datos.

Muchas empresas no se adecuan a la normativa porque o bien desconocen su existencia, lo cual cada vez ocurre menos, o no desean hacerlo por considerar que la inversión a realizar no revierte en un resultado traducido o valorado en términos económicos, lo cual les lleva a correr el riesgo de continuar con su actividad sin aplicar la normativa a los datos personales tratados.

Entre las entidades privadas andaluzas sancionadas (con multas que van desde los 600 a los 420.000 euros) se encuentran agencias de viajes, federaciones y clubes deportivos, empresas de moda y complementos, agencias inmobiliarias, comunidades de propietarios, empresas informáticas, ópticas, hoteles y empresas de telecomunicaciones, ubicadas en Málaga, sancionada con 8 empresas, Sevilla con 4, Jaén con 3, Almería con 2, y Granada y Cádiz con 1.

Desde Abogados Portaley recomendamos a todas las empresas, sea cual fuera su actividad, que se adecuen a la normativa de protección de datos. Nuestro despacho ofrece este servicio a medida, de modo que nuestro presupuesto se adecuan a las características y posibilidades de cada empresa. Pídanos un presupuesto y se lo ofreceremos sin compromiso.

La red social Tuenti, es una de las mas utilizadas por los adolescentes españoles, cuya característica mas llamativa es la de necesitar ser invitado para pertenecer a ella.

Debido al perfil de los usuarios, menores de edad en su gran mayoría, ha surgido la necesidad de establecer mayores medidas que permitan preservar lo máximo posible la privacidad respecto a los datos personales de dichos menores, y evitar así que los acosadores virtuales y pedófilos se hagan pasar por menores y puedan llegar hasta ellos.

Una de las medidas establecidas por Tuenti es la de establecer un filtro de perfiles de usuarios menores de 14 años, consistente en solicitar una fotocopia del DNI, de manera que si no es aportado, se eliminaría el perfil existente o no se permitiría crearlo.

A pesar de ser una medida bien intencionada, hay quien duda de la eficacia de la misma, debido al gran número de usuarios y al trastorno que pudiera suponer para ellos el proceso de identificación.

A dicha medida, se unen la prohibición de descargar fotos creadas por terceros, aunque sea de un amigo, y la de respetar la propiedad intelectual de los contenidos generados por los usuarios.

La Agencia Española de Protección de Datos ha recibido esta iniciativa con gran optimismo, esperando sea secundada de manera general.

Información de la Agencia de Protección de Datos

Actualmente podemos contemplar con normalidad el uso de los CCTV (circuitos cerrados de televisión) y sistemas de videovigilancia por las empresas, comercios, escuelas o comunidades de vecinos que cada vez más optan por este sistema para blindarse contra los actos vandálicos.

La mayor sensación general de seguridad y el proceso de regularización de muchos de estos dispositivos que se están adecuando a la normativa de protección de datos benefició de manera significativa el incremento del fenómeno de instalar estos dispositivos en los ámbitos privados.

De acuerdo con la información aportada por el director de la Agencia Española de Protección de datos (AEPD) Artemi Rallo en una reciente entrevista se han disparado las inscripciones de los ficheros de videovigilancia especialmente en el entorno privado. En los dos últimos años se ha triplicado el número de ficheros que tenían registrados las comunidades de vecinos en el Registro General de Protección de Datos (RGPD), y ha pasado de 341 ficheros en el año 2007 para alcanzar los 1.108 el año pasado.

En el 2006 apenas eran unas 200 entidades que se declaraban responsables de cámaras de videovigilancia, al año siguiente se le sumaron 5.000 y a fecha de hoy son unas 21.000.

La sensación de seguridad que aportan los sistemas de videovigilancia a los empresarios, comerciantes y comunidades de vecinos ha provocado también el auge de las empresas de seguridad que instalan este tipo de dispositivos y que han visto incrementar sus ventas en el último año de hasta un 40%.  En cuanto a los precios, los modelos de videovigilancia que se pueden encontrar actualmente en el mercado pueden ir desde los mil euros – con un grabador, dos cámaras y un monitor- hasta los más sofisticados a partir de los 6.000 euros.

Los principales motivos por lo que se instalan las cámaras de videovigilancia en las fincas son por vandalismo e intrusismo y por los robos en los parkings dentro de los vehículos.

Además de grabar los actos delictivos, las cámaras cumplen una función disuasoria y con su instalación los incidentes bajan, además de mejorar la convivencia entre los vecinos.

No obstante la instalación de una cámara no puede ser un acto sencillamente arbitrario al gusto del que lo haga sino que debe estar justificado por una razón de seguridad, se tiene que instalar de la forma menos agresiva posible para que sea lo menos instrusiva en la privacidad de las personas.

En particular las entidades que quieran instalar los sistemas de videovigilancia deben cumplir con los siguientes requisitos:

• La creación de un fichero de imágenes de videovigilancia exige su previa notificación a la Agencia Española de Protección de Datos para la inscripción en el registro general
• El uso de instalaciones de cámaras o videocámaras sólo es admisible cuando no exista un medio menos invasivo
• Debe informarse sobre la captación y/o grabación de las imágenes
• Las imágenes tendrán que ser canceladas en un plazo máximo de un mes desde su captación
• Las empresas que realicen la instalación y el mantenimiento de los sistemas de videovigilancia deben estar autorizadas por la Agencia Española de Protección de Datos
• Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos
• Los ciudadanos pueden ejercer su derecho a acceder a las imágenes y a cancelarlas

Áudea Seguridad de la Información

Debido al incremento en los últimos años que están experimentando las instalaciones de cámaras y videocámaras con fines de videovigilancia, se aprobó por parte de la Agencia de Protección de Datos la Instrucción de 1/2006 de 8 de noviembre,  la cual aportó mayor claridad y seguridad jurídica en este sector. Sin embargo y posiblemente debido a una falta de conocimiento preciso de la norma por parte de los ciudadanos, empresas (incluidas las dedicadas a la instalación de los sistemas de videovigilancia, que no actúan con la diligencia debida) , incluso las Administraciones Públicas, provocan que sea el tercer sector en número de inspecciones tras las telecomunicaciones y entidades financieras.

A pesar de que los ficheros de videovigilancia inscritos en el Registro General de la Agencia de Protección de Datos han experimentado un crecimiento vertiginoso,  en cifras, en el año 2003 los ficheros de videovigilancia eran tan solo 67 pasando a ser  en 2007 un total de 5026 ficheros notificados, cifra que ha seguido aumentado a lo largo de este año.  No son pocos los casos que aparecen en los medios de comunicación en los que un Ayuntamiento instala una cámara de seguridad sin tener en cuenta la normativa o un particular instala una cámara para vigilar su coche sin previa consulta. Esto se debe a que los ciudadanos para proteger su patrimonio y los Entes locales para evitar actos vandálicos, olvidan un derecho fundamental como es el derecho a la protección de datos en aras de su seguridad.
Sin embargo, como bien se explica en la exposición de motivos de la Instrucción 1/2006  la seguridad y la vigilancia, no son incompatibles con el derecho fundamental a la protección de la imagen como dato personal.

Tras la publicación del plan sectorial de oficio  sobre llamadas telefónicas y mensajes a telefonía móvil con fines comerciales y publicitarios por parte de la Agencia Española de Protección de Datos, se plantea la duda de  si será  necesario aprobar en un breve periodo de tiempo un plan sectorial por parte de la Agencia en materia de videovigilancia, en la que esta evalúe el funcionamiento de las cámaras de vigilancia tanto en espacios públicos como privados arrojando luz sobre este sector.

María del Águila
Responsable de Proyectos  Áudea Seguridad de la Información

Las infracciones graves tienen aparejadas una multa que va de 60.101,21 a 300.506,05 euros, por lo que se deduce que la sanción impuesta a uno de ellos, que utilizaba el alias tuarxienemigo, de 1.500 euros es el resultado de una “gran graduación”, tal y como recoge el artículo 45.4 LOPD, por lo que José Martín ha decidido recurrir la Resolución.

Román aseguró que la multa es "ridícula y vergonzosa". "Las multas graves pueden oscilar entre 60.000 y 300.000 euros, y en cambio aquí, en este informe que no tiene ni pies ni cabeza, se disminuyen continuamente las culpas de quienes grabaron el video de mi hijo", manifestó.

Una de las iniciativas de dicha campaña es el Plan de Comunicación en Protección de Datos Personales para Escolares, que incluye la impartición de una sesión informativa sobre protección de datos personales en el ámbito de las nuevas tecnologías en todos y cada uno de los Institutos de Enseñanza Secundaria de carácter público de la Comunidad de Madrid.

Se hace mención especial a las Redes Sociales de Internet, tales como Facebook, tuenti, mayspace, ya que a través de ellas los jóvenes ofrecen, sin darse apenas cuenta, una gran cantidad de datos personales relativos a su nombre, edad, dirección, teléfono  móvil, datos familiares, etc. Dichos datos, una vez publicados, son de difícil rastreo, de manera que se pierde el control sobre ellos y es imposible saber el uso que de los mismos se hace, y sobre todo quien y para que los utiliza.

Muchos pedófilos y pederastas utilizan estas redes para captar a sus víctimas, haciéndose pasar por menores para así ganarse su confianza y poder consumar, en el caso de estos últimos sus miserias.

El Páis Vasco ha lanzado su propia propuesta bajo el lema Kontuzdatos… Decides tú, una campaña dirigida a 40.000 jóvenes vascos de entre 15 y 16 años, que llama a un uso responsable de las nuevas tecnologías para proteger la privacidad de los datos colgados en la red.

Así mismo, se ha creado una página web www.kontuzdatos.info en la que se podrán descargar información y seis vídeos con situaciones protagonizadas por jóvenes para «fomentar la reflexión».

Los jóvenes han de tener la información necesaria para asimilar por si mismos la importancia de reservar sus datos personales, han de saber que existe una normativa que obliga a las empresas y a los particulares e incluso a la administración a  proteger y controlar los datos personales, que el derecho a la intimidad y privacidad es un derecho constitucional y que existen organismos tanto nacionales como internacionales que velan porque dichos derechos sean protegidos.

FACUA-Consumidores en Acción ha denunciado a Microsoft, Yahoo y Google ante la Agencia Española de Protección de Datos (AEPD) por un grave problema de seguridad en sus servicios de correo electrónico.

Y es que cualquiera puede acceder a la cuenta de correo de otro usuario con sólo conocer dónde vive y la respuesta a una "pregunta de seguridad" que en muchos casos es tan fácil de averiguar como su número de teléfono, el nombre de su mascota o su cantante favorito.

Así quedan al descubierto los mensajes enviados y recibidos por el afectado, además de poder usurparse su identidad tanto desde el correo como su programa de mensajería instantánea.

Solución por parte de FACUA

Por ello, la asociación cree que la recuperación de una contraseña de correo sólo debe permitirse mediante su envío a una dirección electrónica alternativa facilitada por el usuario cuando dio de alta su cuenta, algo que también hacen los proveedores en paralelo al sistema denunciado, así como mediante otras opciones seguras como un SMS al teléfono del usuario o por correo postal con acuse de recibo.

Reclamación a Microsoft en 2004

FACUA ya había reclamado a Microsoft que eliminase el sistema de la "pregunta de seguridad" en agosto de 2004, pero tras una reunión con la compañía en la que su departamento legal se comprometió a analizar el asunto, no volvió a recibir respuesta alguna.

Recomendación

FACUA recomienda a sus usuarios que eliminen la "pregunta de seguridad" si el sistema se lo permite o modifiquen sus datos de forma que su país o provincia sean falsos o la respuesta no guarde ninguna relación con la pregunta, de forma que no sea posible averiguarla por un tercero.

Denuncia ante la APD

FACUA considera que este problema de seguridad implica una vulneración del artículo 9 de la Ley Orgánica 15/1999, de 15 de diciembre, de Protección de Datos de Carácter Personal y las instrucciones emitidas por la AEPD relativas a los procedimientos para acceder y rectificar los datos de carácter personal.

El citado artículo establece que las empresas "deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural".

Más información: FACUA

Alcampo podría haber incumplido el artículo 5 de la Ley Orgánica 15/1999 en sus apartados 1, 2 y 3. La resolución de la Agencia Española de Protección de Datos, con fecha del 17 de diciembre de 2008, según informó hoy Comisiones Obreras, fue notificada al sindicato a principios de enero por el director de la entidad.

El sindicato asegura que la dirección del hipermercado ubicado en Ferrol instaló cámaras de vigilancia "sin informar a los trabajadores y a sus representantes legales".

Posteriormente, en febrero de 2008, Alcampo empleó el contenido de las cintas, en las que "se reconocía fácilmente a los trabajadores", para despedir a un empleado y sancionar a otros once con suspensión de empleo y sueldo por faltas que se consideraron "muy graves" y que a criterio de la empresa, suponían "incumplimientos empresariales".

CCOO no sólo puso estos hechos en conocimiento de la Agencia de Protección de Datos, sino que también denunció a la empresa en el Juzgado de lo Social de Ferrol en junio del pasado año. Como resultado, se redujeron las sanciones a los trabajadores.

Alcampo había admitido ante el juez la colocación de al menos tres cámaras de vigilancia en espacios muy específicos y reservados a los trabajadores, para espiar sus actividades. Los empleados habían sido sancionados por fumar y comer en horario laboral, en unas prácticas que aseguraban que hasta ese momento siempre se les habían permitido.