martes, 29 de septiembre de 2015

cámaras que no graban

Según la propia Agencia de Protección de Datos (AEPD) la mayoría de las denuncias que recibe están relacionadas con la videovigilancia, es decir, con las cámaras de grabación.

Conocemos a personas y empresas que tienen puestas cámaras en la fachada, en el garaje, dentro del bar y otros sitios y cuando les preguntas si son legales te suelen responder, si hay una cierta relación, que tranquilo, no graban.

Pues antes del verano la AEPD ha archivado una serie de denuncias relacionadas con las cámaras de entre las cuales hemos querido destacar una de ellas, que fue motivada por la instalación de cámaras de videovigilancia en un edificio enfocadas hacia la calle, sin carteles de advertencia, colocadas por el administrador del edificio.

Ante el requerimiento de la AEPD solicitando información, el titular respondió que las videocámaras no graban por estar desconectadas, alegación ante la cual la AEPD le requirió pruebas:

  • “Justificación documental (factura, envoltorio, ticket de compra o documento similar) a través de los cuales se acredite fehacientemente que las cámaras instaladas son CÁMARAS FICTICIAS. 
  • Documentación gráfica (fotografías) en las que se aprecie que se trata de cámaras simuladas, que NO FUNCIONAN y/o que se encuentran DESCONECTADAS. 
  • Se le requiere formalmente para que retire o redirija las cámaras, de modo que no enfoque la vía pública ni áreas o espacios pertenecientes a terceras personas.” 
El denunciado envió escrito indicando que había procedido a la retirada de las cámaras, a las que se refiere la denuncia, que se encontraban instaladas en la fachada de su local de negocio, aportando fotografías de las que se desprende que ha procedido a su retirada y, en consecuencia, la AEPD archiva las actuaciones.

Pero, cuidado porque la AEPD se ha manifestado negativamente sobre las cámaras en varias resoluciones, llegando a sancionar con 1.500€ (PS/00139/2012) una situación en la que la cámara no existía, desestimando las alegaciones presentadas y el posterior recurso de reposición.

En definitiva, si repasamos estas resoluciones de la AEPD y las motivaciones esgrimidas, aun siendo evidente que si existe una cámara falsa o real (que esté apagada y por tanto sin funcionar) no existirá tratamiento de datos, la AEPD ha considerado que genera una “falsa apariencia”, argumento con el que no estamos de acuerdo.

Es muy importante ante estas situaciones, sobre todo, si llega un apercibimiento de sanción, responder en tiempo y modo a las notificaciones de la AEPD, sin olvidarnos de cuidar mucho nuestras alegaciones, ya que de todo ello puede depender que seamos sancionados o que la Agencia considere que por esta vez seamos apercibidos o en el mejor de los casos archiven la denuncia.

martes, 15 de septiembre de 2015

Ejemplos de multas por infracción LOPD

Algunos ejemplos de típicas (y no deliberadas) infracciones de la normativa de protección de datos y su correspondiente multa (gracias a Datadesk)

INFRACCIONES LEVES (de 900 a 40.000 euros)

1. Si envías comunicaciones comerciales por email o a través de otra vía de comunicación electrónica sin que los destinatarios hayan autorizado expresamente que están de acuerdo con dicho envío.

2. Debes saber que has de comunicar al registro público el nombre del dominio de tu página web.

3. No darle a la Agencia Española de Protección de Datos la información que te solicite, de acuerdo a las competencias que la Ley otorga a la agencia.

INFRACCIONES GRAVES (de 40.001 a 300.000 euros) éstas ya son palabras mayores

4. El destinatario del servicio ha de conocer las condiciones generales a que se sujete el contrato.

5. No modificar o rectificar datos de carácter personal cuando estos errores afecten a los derechos de las personas nombradas.

6. No facilitar y obstruir la función inspectora.

7. Envío masivo de comunicaciones comerciales vía email u otra vía de comunicación electrónica cuando los destinatarios no hayan autorizado que se les mandase dicha comunicación.

INFRACCIONES MUY GRAVES (de 300.001 a 600.000 euros) Si incurres en una de estas infracciones, tienes el infarto asegurado

8. Si tu empresa no cumple con la obligación de suspender el alojamiento de datos, el acceso a la web u otro servicio equivalente relacionado con la intermediación, cuando un órgano administrativo le obligue a ello.

9. Cuando se recaben o recojan datos e información de manera engañosa o fraudulenta.

10. Si se transfieren datos de carácter personal a otros países que no proporcionen el mismo nivel de protección del país de origen sin la pertinente autorización del director de la Agencia Española de Protección de Datos.

Recomendación final: algunas de estas infracciones son fáciles de evitar, otras necesitas la colaboración de profesionales. Cuenta con nosotros para adaptarte a la normativa de protección de datos lo antes posible.

martes, 8 de septiembre de 2015

Consejos sobre protección de datos

Consejos para que tu empresa se adapte fácilmente a la normativa de protección de datos: 

1. Inscribe tus ficheros en la Agencia Española de Protección de Datos (AEPD). Cada uno de los ficheros de recolección de datos con los que trabaje la empresa debe estar inscrito en el Registro General de Protección de Datos para que éstos sean públicos y accesibles para todos los interesados. Es una de las sanciones más fácilmente evitable. 

2. Sé claro en el tratamiento de los datos. Es preciso diseñar un proceso de recogida, tratamiento y almacenamiento de los datos que cumplan con una serie de reglas como la toma de datos pertinentes sin emplear métodos de recolección fraudulentos o su cancelación cuando dejan de ser necesarios, entre otras. 

3. Cumple con el deber de información. El titular de los datos debe estar informado en todo momento de los términos exactos en los que se recopila y tratará la información en el futuro. 

4. Cuenta con el consentimiento del afectado. Es cierto que en algunas ocasiones basta con el consentimiento tácito pero tiene un grave problema que recae en el responsable del fichero: acreditar dicho consentimiento. Por consiguiente, lo recomendable es contar con el consentimiento expreso del titular de los datos personales. 

5. Pon mucho cuidado a los datos especialmente protegidos. Los datos que hagan referencia a la ideología, afiliación sindical, religión y creencias, origen racial, salud y vida sexual deben ser tratados con mayor precaución debido a que son especialmente sensibles. 

6. Garantiza la seguridad de los datos. La empresa debe tomar las medidas, técnicas, humanas y operativas que sean necesarias para evitar que los datos se alteren, pierdan o sean accesibles sin autorización. 

7. Respeta el deber de secreto. Es obligatorio que las personas que hayan tenido acceso a los datos personales guarden el secreto profesional y salvaguarden su confidencialidad. 

8. Informa de la comunicación de datos. Si los datos se van a entregar a otra persona, empresa o entidad, es preciso que sea por un fin relacionado y legítimo, que se informe al titular y que se cuente con su consentimiento. 

9. Cuida el acceso a los datos por cuenta de terceros. Si la empresa decide externalizar un servicio (contabilidad, nóminas, publicidad…) el proveedor de éste pasa a ser el encargado del tratamiento de los datos. Para cumplir con la Ley de Protección de Datos deberá tratarlos siguiendo las instrucciones del responsable del fichero y devolverlos o destruirlos una vez finalice el servicio. 

10. Facilita el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. La empresa debe encargarse de implementar los formularios y procesos necesarios para que los titulares ejerzan estos derechos.


Para tener todo esto en orden y cumplir con la Ley de Protección de Datos, es muy recomendable que un experto realice una auditoría de protección de datos y ofrezca un informe de calidad sobre la situación en la que se encuentra la empresa en relación a este asunto y proceda a la adaptación de la empresa a dicha normativa.