DNTecnologias.es

Hola a todos, aporto mi opinión sobre la aplicación de la LOPD a las cámaras de vigilancia sin grabación de las imágenes.

Según la AEPD, en caso de no existir grabación lo único que no hay que hacer es inscribir el fichero, ya que no hay fichero, pero hay que cumplir el resto de exigencias que establecen la LOPD y su Reglamento de desarrollo. Así queda reflejado en la Instrucción 1/2006 de la AEPD y en sus distintas guías al respecto.

No obstante, esta Instrucción elaborada por la Agencia no puede contradecir a la LOPD, una Ley Orgánica (al igual que tampoco puede contradecirla un Reglamento, como el de desarrollo de la LOPD…), y según se ha visto con el tema de las “partidas bautismales”, el Tribunal Constitucional, órgano que tiene la última palabra sobre el derecho fundamental a la protección de datos, ha sentenciado (en contra del criterio de la AEPD), que “la protección de datos se refiere según ese artículo 3 a todo dato personal registrado en soporte físico, cualquiera que sea la forma o modalidad de creación, almacenamiento, organización y acceso”.

Sigue la sentencia, “Sin embargo, no cabe aceptar que esos datos personales, a que se refiere la Sala de instancia, estén recogidos en los Libros de Bautismo, como un conjunto organizado tal y como exige el art. 3.b) de la LO 15/99, sino que resultan son una pura acumulación de estos que comporta una difícil búsqueda, acceso e identificación en cuanto no están ordenados ni alfabéticamente, ni por fecha de nacimiento, sino sólo por las fechas de bautismo, siendo absolutamente necesario el conocimiento previo de la Parroquia donde aquel tuvo lugar, no resultando además accesibles para terceros distintos del bautizado, que no podrían solicitar ajenas partidas de bautismo.”

Por tanto, en mi modesta opinión, no pasará mucho tiempo hasta que alguien sancionado en un asunto de videovigilancia sin grabación alegue ante la Audiencia Nacional, Tribunal Supremo, o Tribunal Constitucional, que no hay un conjunto organizado de datos, tan sólo una acumulación de datos en formato de imágenes en directo, teniendo que rectificar la AEPD su criterio e Instrucción.

El pasado martes 6 de julio de 2009 como miembro de la comisión de Protección de Datos en Andalucía de ANDCE (PDAnd), firmé con el Director de la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM), Santiago Abascal Conde, un acuerdo marco en materia de protección de datos personales con el objetivo de establecer fórmulas de cooperación para conciliar el respeto y la garantía del derecho a la protección de datos de carácter personal. Para ello, se desarrollarán actividades que apoyen el impulso informático y electrónico en las entidades y organizaciones, fomentando la implantación de sistemas de calidad en la gestión de los sistemas de información.

Entre las principales iniciativas que se pondrán en marcha a raíz de este Convenio de colaboración destacan la constitución de una Mesa de Seguimiento e Interpretación, que servirá de canal de comunicación para la resolución de dudas jurídicas, interpretaciones normativas y estudio de las mismas; el impulso en la participación de ambas entidades en jornadas y eventos organizados por ellos mismos; la colaboración en el ámbito de la investigación científica y el desarrollo tecnológico; y la publicación de artículos en las publicaciones de ambas entidades.

Este acuerdo es de gran importancia para consolidar e impulsar una efectiva implantación de medidas que garanticen la protección de los datos personales de los ciudadanos andaluces y madrileños, promoviendo un mayor conocimiento de este derecho fundamental en la sociedad.

Para controlar el desarrollo de estas iniciativas se creará una Comisión de Seguimiento y Coordinación, en la que habrá representantes de la APDCM y de la Comisión de Protección de Datos de Andalucía, que velarán por la efectiva consecución de los objetivos de este acuerdo.

El pasado 15 de junio de 2010 asistí a una estupenda Jornada organizada por la Fundación Solventía y dirigida por José Luis Piñar, sobre “Cloud Computing y la Privacidad de los Menores en la Red”. Transcribo aquí las conclusiones de la misma:

“Los cambios de aplicaciones de las nuevas tecnologías constituyen un fenómeno que ha variado nuestra forma de relacionarnos y de comunicarnos, mucho más aún en el caso de los menores. En la vida digital se intercambian datos personales, imágenes, información pública o privada que se introduce en la red sin conocer los riesgos que esto conlleva. Y es que… ¿A dónde van mis datos? Este interrogante fue el punto de partida de la Jornada Cloud Computing y la privacidad de los menores en la red, que la Fundación Solventia organizó ayer en el Ilustre Colegio de Abogados de Madrid. La cita, celebrada en colaboración con Google y la Fundación ACS, es ya un punto de referencia para los especialistas en protección de datos ya que fue una acción más del proyecto de investigación internacional “La privacidad de los menores ante el uso de las nuevas tecnologías‟ que la Fundación Solventia desarrolla desde hace un año.

El seminario fue inaugurado por el director de la Agencia Española de Protección de Datos (AEPD), Artemi Rallo Lombarte, además del Presidente de la Fundación Solventia, Conrado Truan y el director del proyecto de investigación y Catedrático de Derecho Administrativo José Luis Piñar Mañas. En diálogo con todos los actores implicados en este proceso, la jornada también contó con la intervención de más de 20 profesionales y expertos del sector, quienes reflexionaron sobre los desafíos de cloud computing o nube digital y cómo proteger los principios de la privacidad, especialmente de los menores, un colectivo tan vulnerable.

Conectividad y colaboración

El auge de la computación en la nube, cloud computing o “nube TIC” –tal y como prefiere definirla Julián Inza, presidente de Albalia Interactiva– hace que sea imprescindible tener en cuenta este nuevo paradigma de funcionamiento de Internet. Esta tendencia se basa en que los archivos o documentos que tradicionalmente almacenábamos en nuestro ordenador pueden alojarse ahora en „la nube‟ de Internet. De esta manera se han transformado los sistemas de almacenamiento de datos y documentos ya que ahora “cualquier usuario puede acceder a sus archivos personales desde cualquier sitio”, destacó Barbara Navarro, directora Europea de Políticas Públicas y Asuntos Institucionales de Google España y Portugal.

Asimismo, Navarro señaló que la existencia de la „nube digital‟ “contribuye a la conectividad y colaboración entre las personas”. El cloud computing también facilita trabajar en grupo a través de la red posibilitando “que varias personas co-editen un documento, realicen búsquedas de información en segundos o escriban un mail en un idioma y el destinatario lo reciba en otro”. Sin embargo, desde el punto de vista de la privacidad, el intercambio y la conectividad plantea una serie de interrogantes que todos los actores implicados deben responder.

Autorregulación, ¿una solución?

Otro de los puntos clave que añade complejidad a este campo es el principio de territorialidad en la aplicación de las normas y el carácter interterritorial intrínseco de la computación en la nube. “No podemos saber realmente donde se ubican los almacenes de datos”, explica José Luis Piñar, “por tanto, no podemos realmente determinar en todo momento que norma puede aplicarse”. Sin embargo, el desconocimiento que arguyen los proveedores de Internet sobre la ubicación de los datos o sobre qué jurisdicción aplicar “no puede excusar el incumplimiento de los principios de la protección de datos y la privacidad”, explicó Francisco Fonseca Murillo, director de la Representación de la Comisión Europea en España. “El derecho y, en concreto la legislación europea, da respuesta a estos interrogantes. No podemos permitir que los suministradores de los servicios digitales no cumplan los principios de privacidad. Debemos exigírselo”.

En esta misma línea se manifestó Natalia Martos Díaz, Directora Jurídica y de Privacidad de Tuenti quien insistió que “el marco legislativo actual da muchas respuestas a los desafíos que se plantean. En ningún caso la autorregulación puede sustituir a la ley. Es un complemento necesario en situaciones concretas, pero no un sustitutivo legal”. En cuanto a la autorregulación, una práctica mucho más extendida en Estados Unidos, José Luis Piñar consideró que “es imprescindible acentuar las medidas de autorregulación responsable mediante la definición de políticas de privacidad rigurosas, cuyo cumplimiento esté garantizado por los proveedores y que cuenten con algún grado de vinculatoriedad al objeto de poder imponer, en su caso, su acatamiento”.

Educar para concienciar

Junto al cumplimento de la ley o la mejora de las medidas de autorregulación hay otro aspecto imprescindible para salvaguardar la privacidad: la concienciación. “Existe una reducida conciencia de los riesgos que implica compartir datos y hay un gran desconocimiento sobre la protección de los mismos”, afirmó Pablo Lucas Murillo, magistrado del Tribunal Supremo. “Es necesario fomentar una conciencia de protección de datos a través de la educación de todos los actores implicados”, explicó Lucas Murillo. “Instituciones, familia, educadores, proveedores de servicios deben adquirir esta conciencia de la protección para poderla transmitir a los y las menores”.

En esta misma línea insistió Arturo Canalda, Defensor del Menos de la Comunidad de Madrid que “es importante concienciar y acompañar los niños y niñas en su vida digital. Lo indispensable no es donde están los datos sino saber los delitos y los abusos que se cometen con el manejo de los mismos”. Y es que, “todos podemos poner de nuestra parte, podemos mejorar nuestro cumplimiento, pero sin la educación y conciencia de los chavales el esfuerzo por respetar los principios de la protección de datos no es completo”, afirmó Natalia Martos durante su ponencia ayer en el Colegio de Abogados de Madrid.

Análisis de los proveedores digitales

En el marco de la Jornada la Fundación Solventia también presentó el estudio, „Prácticas en materia de privacidad de los proveedores de Redes Sociales‟. Dirigido por José Luis Piñar y realizado por Chiara Civitelli, abogada especializada en la propiedad intelectual, comercio electrónico y la protección de datos; el texto determina qué grado de protección de la privacidad tienen los menores usuarios de redes sociales.

Elaborado a partir de la información contenida directamente en las páginas web de las redes sociales, el estudio analiza la política de privacidad de 10 comunidades sociales de diversos países. Proveedores de servicios digitales “con una política de privacidad relativamente elaborada, una apariencia de seriedad y garantía”, tal y como explicó José Luis Piñar durante la presentación del estudio, “pero existen detalles como la dificultad de la cancelación de los datos, los textos de privacidad farragosos que no se leen por parte del usuario y se aceptan desconociéndolos o las complicaciones para configurar la privacidad”. Aspectos como éstos hacen que sea difícil garantizar completamente la privacidad en este tipo de plataformas.

Acuerdo de colaboración: Solventia – Anar

El punto y final de la Jornada lo puso la firma del convenio colaboración entre la Fundación Solventia y la Fundación Anar, dos entidades comprometidas en la promoción y defensa de la infancia. Durante el próximo año, periodo de vigencia de este acuerdo, Solventia y Anar compartirán recursos, programas y proyectos de investigación que velen por el desarrollo integral los y las menores. El ámbito de actuación de las actividades compartidas será España y algunos países de Latinoamérica, ámbito de actuación de las dos fundaciones. Con este convenio la Fundación Solventia da un paso más en la cooperación en red para sumar esfuerzos en la protección de la infancia y la juventud, uno de sus pilares fundacionales.”

La revista de la Agencia de Protección de Datos de la Comunidad de Madrid, de publicación bimestral, publica en su número 45, de fecha 31 de mayo de 2010, un artículo que he escrito sobre “Mediación en Protección de Datos”.

Podéis visitar dicha revista en esta dirección: http://www.datospersonales.org/

Espero que os resulten de interés tanto mi artículo como el resto de ellos.

La protección de la integridad y de la autenticidad de la información es un elemento que se ha convertido en un concepto clave para cualquier organización u empresa. Cada vez resulta más difícil y costoso cumplir con los mandatos de leyes y normativas, hacer frente a las amenazas internas y seguir los requerimientos asociados a la gestión, presentación y aceptación de pruebas electrónicas.

Kinamik Data Integrity, empresa de software especializada en la protección de la integridad de la información en tiempo real, ha desarrollado una solución que recoge, asegura y centraliza la información electrónica desde diversas fuentes al momento en que aquélla es creada. Al procesar la información le aplica un “sello digital” que permite evidenciar cualquier intento de manipulación, obteniendo por lo tanto pruebas irrefutables de su integridad.

La solución de Kinamik, llamada Secure Audit Vault, crea una bóveda centralizada y segura para todos los registros electrónicos. Simplifica las tareas de archivo, preservación y búsqueda de información, al tiempo que mantiene los registros en forma segura, procesándolos para alcanzar los más altos niveles de integridad. Es capaz de manejar sin sobresaltos una gran cantidad de información desde diferentes fuentes, incluyendo aplicaciones, bases de datos, servidores y dispositivos conectados a redes. Los registros preservados en la bóveda se encuentran en formato nativo (raw), han sido securizados a nivel de cada evento y se les ha aplicado un sello de inviolabilidad, pudiendo demostrar en forma fehaciente e irrefutable si algún registro ha sido manipulado. Usando una interfaz web, los registros preservados pueden ser buscados y analizados según necesidad.

Kinamik Secure Audit Vault ayuda a las organizaciones a reducir los costes asociados a procesos de auditoría (interna o externa), a la gestión de pruebas electrónicas y a procesos de investigación de informática forense. También facilita el cumplimiento de leyes y estándares, como la Ley 11/2007, la LOPD, la PCI-DSS o ISO 27001, especialmente en lo que se refiere a la prevención y detección de la manipulación de los registros electrónicos. Disuade el fraude electrónico, reduce el riesgo e impacto de la amenaza interna y sirve como soporte en procesos judiciales al aumentar el valor probatorio de los registros, dándoles una mayor validez legal y permitiendo su uso como prueba electrónica en caso de litigio.

Kinamik Secure Audit Vault se diferencia de otras herramientas existentes en el mercado que intentan dar protección de la integridad, principalmente en su capacidad de procesar y asegurar la información en tiempo real y en el nivel de granularidad de la protección otorgada. Al aplicar el sello de inviolabilidad al mayor nivel de detalle en el momento en que la información se genera se reduce el espacio de tiempo entre el momento en que su creación y el momento en que dicha información se procesa, reduciendo por lo tanto la ventana de riesgo en que una manipulación pueda ocurrir. Por otra parte, el gran nivel de detalle permite precisar y señalar exactamente cuándo y dónde los registros electrónicos han sido manipulados, descartando de esa manera tan solo la parte comprometida del fichero. Finalmente, el resto de tecnologías se basan en registros estáticos, tales como ficheros o documentos; en cambio, la solución de Kinamik se centra en ficheros dinámicos como e-mails, mensajes instantáneos, ficheros de vídeo o audio y logs. Es en el contexto de este tipo de ficheros -en el que el mantenimiento de la integridad posee un alto valor- donde el tiempo real y la granularidad se presentan como elementos clave.

Hoy he mantenido  un encuentro digital con los lectores del Grupo Joly, lo he pasado estupendamente. Os pego aquí el resultado del encuentro copiado del Diario de Sevilla. Espero que os resulte interesante lo preguntado en él.

También podéis acceder al contenido original en:

 http://www.diariodesevilla.es/article/encuentrosdigitales/665620/los/consumidores/online/tienen/veces/mas/derechos/resto.html

Pedro Rodríguez López de Lemus, presidente de Asociación Andaluza de Comercio Electrónico (ANDCE), ha contestado a las preguntas de los internauta:

1. Jose  07.04.2010, 11:31
Están proliferando en grán medida las empresas de venta de productos rebajados “online”. ¿ Estamos los usuarios igualmente protegidos al realizar estas compras en materia de devoluciones, garantias. . . que con una compra via comercio tradicional o se aplican leyes distintas ?

Los usuarios on-line tienen como mínimo los mismos derechos que los usuarios en las compras físicas, aunque para algunos casos disponen de más derechos. Como en el caso de las devoluciones de las compras realizadas por internet, ya que se disponen de siete días para devolver el producto sin tener que dar justicación alguna.

2. francisco 07.04.2010, 08:59
Sr. López de Lemus: ¿Puede un padre revisar el correo electrónico de su hijo menor de edad, con la finalidad de evitar abusos de menores, o por el contrario estaría cometiendo una lesión de los derechos de los menores? Ello entendido en el contexto actual, donde por internet se están cometiendo innumerables abusos a menores. Muchas gracias. Un saludo.

Los menores también tienen su derecho a la intimidad, no obstante, si el padre o tutor tiene motivos fundados que permitan temer por el menor, sería obligación del mismo protegerlo frente a esos posibles perjuicios. Aunque la respuesta es algo ambigua, la solución a este dilema debería estar marcada por las circunstancias concretas del caso.

3 Alberto Kadisko 06.04.2010, 14:54
Sr. López de Lemus: ¿ Por qué no existe aún una agencia de protección de datos en nuestra comunidad autónoma si Cataluña y Madrid ya disfrutan hace tiempo de la suya. ? Muchas gracias

Es cierto que Madrid, Cataluña y País Vasco ya disponen de su agencia autonómica de protección de datos y que Andalucía, por el contrario, aún no cuenta con ella. A instancias de ANDCE, en el año 2003 se presentó una propuesta de ley para la creación de la misma, pero el Parlamento andaluz entendió que no era el momento, quizás porque la mayoría de los ficheros de datos personales que tendría que vigilar serían los propios de la Junta de Andalucía. No obstante, en el nuevo Estatuto de Autonomía andaluz ya se menciona tres veces a la Agencia Andaluza de Protección de Datos.

4 Maria 06.04.2010, 14:43
Una empresa ha vulnerado mi derecho de protección de datos, si denuncio ante la Agencia Española de Protección de Datos, podría recibir una indemnización por ello?

Efectivamente María, si se vulnera tu derecho a la protección de datos surge un derecho de indemnización hacia ti por los daños y perjuicios que te hubieran ocasionado, pero la vía para obtenerlo no sería ante la Agencia Española de Protección de Datos, sino la de los tribunales ordinarios o la de intentar someterte a una mediación como la que disponemos en la Comisión de Proteccción de Datos en Andalucía.

5 Rosa 05.04.2010, 13:48
¿Es verdad que puedo devolver un producto si lo compro a traves de comercio electrónico? ¿Que tiempo tengo?

Así es Rosa, todos los productos que se compren por internet, salvo aquellos que por su propia naturaleza no se puedan devolver, como los hechos a medida o perecederos, pueden devolverse en el plazo de siete días sin tener que alegar nada para ello y sin ningún coste para el comprador,  excepto el envío de vuelta.

6 lengua morá 05.04.2010, 13:18
¿cómo hay que actuar en caso de que una publicidad molesta se niegue a dejar de colarse en mi mail? ¿cómo puedo asegurarme de que mis mails “masivos ” a amigos, a veces con un cierto interés comercial, no suponen un riesgo de sanción por parte de algún destinatario malintencionado o simplemente molesto?

En caso de que recibamos spam, el procedimiento establecido para denunciarlo es mediante denuncia a la Agencia Española de Protección de Datos. A partir de ahí, la propia agencia se encarga de investigar y sancionar a los responsables de ese envío de spam, por lo que no tiene ningún coste ni sacrificio para el denuncia. Respecto a la segunda cuestión, lo más seguro es solicitar siempre autorización antes de enviar cualquier correo con información comercial, ya sea a amigos o enemigos.

7 Raul Fernández 05.04.2010, 13:14
Quisiera saber si puedo hacer algo para dejar de recibir correos basura por correo electronico. Gracias.

Estimado Raúl, lo mejor para dejar de recibir correos publicitarios no deseados es denunciar aquellos que reciban ante la Agencia Española de Protección de Datos. Desde su página web puedes descargarte un modelo de denuncia para ello, que sólo tendrás que completar con tu nombre, copia del DNI, firma y copia del email que has recibido.

8 MIGUEL 05.04.2010, 10:19
He sabido que es Vd. experto en protección de datos. Tengo la siguiente duda: colaboro en una ONG que, entre otras actividades, edita un boletín informativo donde de vez en cuando publicamos resoluciones de expedientes administrativos en los que hemos sido parte. ¿podemos incurrir en responsabilidad si damos a conocer los nombres de esos infractores sancionados?

Efectivamente Miguel, al publicar datos de caracter personal de terceros sin su consentimiento podrías estar infringiendo la Ley Orgánica de Protección de Datos, pues si bien la ONG tiene derecho a conocer esos datos personales, no lo tendría para comunicárselos a terceros no interesados en dichos procedimientos.

9 Andrea 29.03.2010, 14:41
Con el aumento del fraude on line, ¿las páginas que facilitan la compra de objetos siguen dando las mismas garantías de seguridad?¿Cómo puedo denunciar a una empresa en el caso de que me estafen a la hora de comprar en Internet?

Las tiendas on-line deben cumplir las mismas garantías que cualquier tipo de tienda y unos requisitos adicionales que les marca la LSSI y la Ley de Venta a Distancia, entre ellos la obligación de identificarse con su denominación social, dirección, número de inscripción en el registro mercantil y demás datos de contacto. Por ello, en caso de que te estafen deberías acudir a los tribunales o dirigirte a alguna organización de consumidores. También tienes la opción, si has hecho el pago mediante tarjeta de crédito,  de ordenar a tu banco que retire el cargo por haber sido una compra fraudulenta.

10 Angela 29.03.2010, 14:39
Buenas, mi pregunta se refiere sobre el DNI electronico; es lo mismo el DNI electrónico y la firma digital? Es seguro la utilización del mismo es las gestiones con la Administración, por qué me da la impresión es que es una clave más. Gracias

Hola Ángela, no es lo mismo DNI electrónico que firma digital, pero tiene mucho que ver, ya que el DNI-e tiene un certificado electrónico con el que puedes firmar electrónicamente cualquier documento digital con la misma validez que una firma manuscrita. Respecto a la segunda cuestión, el DNI electrónico es una forma muy segura para relacionarte con las administraciones públicas, de hecho a raíz de la Ley de Administración Electrónica, todas, tanto estatales, autonómicas como locales, están obligadas a aceptar que te relaciones con ellas de manera on-line utilizando el DNI-e.

11 Adrian 29.03.2010, 14:36
Buenas, Pedro, mis correos suelen atestarse de spam y el otro día leí que las empresas pierden mucho dinero tan solo en el tiempo que se pierde borrándolo. ¿Cómo está nuestra normativa respecto al spam? ¿Qué protección tenemos los usuarios frente a él? ¿Cómo podemos actuar?

Estimado Adrián, la LSSI en su artículo 21 prohíbe el envío de comunicaciones comerciales por medios electrónicos, ya sean correos, sms o análogos, si no se han solicitado previamente o se ha dado autorización expresa para ello. Tan sólo cabe la excepción del envío de estas comunicaciones a clientes presentes o pasados sobre productos o servicios similares a los que contrataron. Por tanto, siempre que recibamos estas comunicaciones y no lo hayamos solicitado o autorizado, y no seamos un cliente, se está infringiendo esta normativa, cuya sanción para el infractor, en caso de que sea una comunicación masiva, es de 150.000 a 300.000 euros. Por tanto, la mejor forma de actuar es denunciar a los emisores de estos correos ante la Agencia Española de Protección de Datos, que es el órgano encargado de sancionar estos comportamientos.

12. Patricia Rodríguez 29.03.2010, 14:34
Buenas tardes, soy una madre muy preocupada por el uso internet por parte de mis hijos, ¿es posible que siendo menores de edad accedan a páginas para mayores de edad o a tiendas on line para adultos? si sólo piden el DNI, ¿podrían utilizar otro DNI? ¿Hay otras maneras de evitarlo?

Buenas tardes Patricia, entiendo tu preocupación, ya que internet está lleno de cosas buenas, pero también tiene sus peligros. Como bien dices es posible que menores accedan a páginas de adultos, ya que en muy pocas de ellas existen sistemas de control de acceso efectivos (como por ejemplo la comprobación de un DNI electrónico) que eviten la entrada de menores de edad. Por ello, el mejor control puede ser que los ordenadores sean utilizados en un sitio común de la casa o que se instalen programas en los ordenadores que controlen que páginas se pueden ver y cuales no.

13 Carlos 29.03.2010, 14:31
Hola Pedro, me alegro que sea este un tema de actualidad en los Encuentro Digitales. Soy una persona que no confía en el comercio electrónico a pesar de los beneficios, sobre todo en cuanto a precio, que tiene su uso. Por ello quería que me respondiera si es totalmente fiable en todas las páginas webs o deben tener alguna autentificación de lugar seguro para el e-commerce?

Hola Pedro, todas las tiendas on-line al igual que todas las tiendas físicas no son completamente fiables, aunque sí la mayoría. Por ello, hay que tener cierta precaución con quien contratamos por internet, la misma que tenemos cuando acudimos a una tienda física. Para ello es importante que en la página web haya información detallada de quien es el propietario de dicho espacio y que esté perfectamente identificado y localizable en caso de que haya problemas. También existen unos certificados de confianza que algunas tiendas adoptan y que las hacen más seguras para los ciudadanos. Así, desde ANDCE estamos a punto de poner a disposición de los andaluces un certificado de garantía homologado por la administración, pero problemas burocráticos con el Consejo de Usuarios y Consumidores están haciendo que se retrase.

14 amalia 29.03.2010, 14:29
Buenas tardes, tengo una duda y es que estoy recibiendo una llamada de un número privado al móvil y por más que rechazo la llamada no dejo de recibirla, cómo puedo actuar ante esta situación? gracias

Estimada Amalia, intentaré resolver tu duda. Hace poco ha habido una reforma legislativa que prohíbe las llamadas publicitarias por teléfono desde un número oculto o privado, considerándolas actitudes desleales por su agresividad ya que no permiten identificar al emisor de la llamada. La mejor forma de actuar en esta situación es acudir a una organización de consumidores y usuarios, o si lo prefieres directamente a los tribunales.

15Paco 07.04.2010, 12:23
Puede el comercio electronico revolucionar el mercado de la venta de videojuegos, peliculas, música, software empresarial. . . y ayudar a romper con la lacra de la piratería en este pais?

Sin duda, internet y el comercio electrónico han revolucionado y seguirán revolucionando los mercados a los que te refieres, lo que seguramente llevará a una nueva forma de entender los mismos, sobre todo por parte de las industrias que lo controlan actualmente. En mi opinión, lo próximo que veamos será poder acceder a estos contenidos de manera legal por un precio reducido que no haga necesario el buscar dichos productos en redes P2p.

16 Angel 07.04.2010, 12:21
¿Como puedo saber si una empresa tiene mis datos? ¿puedo pedir que los eliminen o borren?. Gracias

Efectivamente Ángel, todas las personas tenemos derecho a saber de cualquier empresa qué datos nuestros tienen, así como a que rectifiquen los incorrectos o que borren los que estimemos oportunos. Para ejercitar estos derechos hay que comunicárselo a la empresa en cuestión por cualquier medio que permita nuestra identificación, como puede ser una carta con copia de nuestro DNI y nuestra firma manuscrita. Se pueden encontrar modelos para el ejercicio de estos derechos en la página web de la Agencia Española de Protección de Datos.

17 Maria Jimenez 07.04.2010, 12:12
Sr. López de Lemus: Recibo llamadas a las horas mas molestas ofertandome lavadoras, moviles, etcetera, es legal? Como pudo dejar de recibirlas? Gracias

Estimada María, si la publicidad la recibimos vía telefónica y los datos son obtenidos de fuentes accesibles al público, como la guía telefónica, es legal realizar estas llamadas publicitarias, no obstante tenemos derecho a pedirles que no nos vuelvan a llamar, aunque la mejor opción es indicar en la guía telefónica que no queremos que se utilicen nuestros datos que allí aparecen para que nos realicen comunicaciones comerciales, bien por teléfono o por correo postal. Para ello, en la página web de la Agencia Española de Protección de Datos podemos descargar un modelo para solicitarlo.

18 OSCAR  07.04.2010, 13:49
QUERIDO PEDRO COMPARADO CON EL RESTO DE LA UE, QUÉ NIVEL DE SEGURIDAD JURÍDICA OFRECE LA LEGISLACIÓN ESPAÑOLA A LA HORA DE LA REALIZACIÓN DE TRANSACCIONES COMERCIALES A TRAVÉS DE INTERNET?

Querido Oscar, estas normativas nacen de directivas europeas, por ello, en toda la Unión Europea la normativa es muy parecida, ya que todas las legislaciones nacionales han de cumplir sus directrices.

19 Juan  07.04.2010, 13:08
¿Cual cree Ud. que es el mejor y mas seguro sistema de micropagos ahora mismo para la venta on-line?

En mi opinión, Paypal es una buena opción para los pagos en las ventas on-line, tanto para el consumidor que compra como para el empresario que cobra, ya que es un tercero de confianza interesado en que el negocio jurídico sea correcto.

20 Bañi Bañil  07.04.2010, 12:52
Últimamente estamos viendo muchos intentos de la industria del videojuego de distribuir sus juegos vía internet y eliminar los dispositivos sólidos como cartuchos, cds, dvds. . . Como con la nueva PSP ¿Es esto una estrategia para acabar con el mercado de videojuegos segunda mano que está floreciendo últimamente, y que no interesa a las empresas productoras? ¿Cree que se acabará el poder prestar un juego a un amigo, al no poder “sacarlo de la consola”?

Mi opinión al respecto es que cada vez más se podrá compartir música, videojuegos, libros ectcétera, ya que la velocidad de transmisión y la capacidad de almacenamiento aumenta a ritmo frenético, lo que permitirá, pese a las medidas que adopten las industrias implicadas, que dichos bytes puedan ser transmitidos y copiados con cierta facilidad, ya que siempre que surgen medidas restrictivas en el uso de la información aparecen rápidamente contramedidas para saltárselas

El próximo miércoles día 7 de abril acudiré a la redacción de Diario de Sevilla para mantener un encuentro digital con los lectores de Grupo Joly. 

En este encuentro se intentará dar respuesta a los problemas de los ciudadanos en relación con la privacidad, las nuevas tecnologías, Internet, y el comercio electrónico. Por ello si tienes alguna pregunta que hacer sobre estos temas, u otros que consideres oportunos, puedes ya realizar tu consulta en esta dirección: http://www.diariodesevilla.es/article/encuentrosdigitales/665620/presidente/la/asociacion/andaluza/comercio/electronico/respondera/las/preguntas/los/lectores.html

Hace unos días recibí un SPAM, es decir un correo electrónico con publicidad de una entidad sin que se lo hubiera solicitado previamente y con la que nunca había contratado nada. Hasta aquí, por desgracia, nada fuera de lo habitual, pero en este caso me sorprendió por el carácter de esta entidad, dedicada a dar servicios al colectivo de abogados, no me pegaba que se dedicarán a hacer SPAM masivo.

Así, en mi quijotesca lucha contra el SPAM me puse en contacto con ella pidiéndoles que me indicaran de donde habían obtenido mi correo electrónico y que acreditasen mi solicitud o autorización para el envío de sus comunicaciones publicitarias o promocionales por correo electrónico, o la existencia de una relación contractual previa.

Les aclaré que los artículos 21 y 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) prohíben el envío de comunicaciones publicitarias o promocionales por correo electrónico que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas (SPAM), excepto cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. También les añadí la posible sanción, que el artículo 38.3. c y el 39.1.b de la LSSI califica como infracción grave el envío masivo de este tipo de comunicaciones, que son sancionadas con multa de 30.001 hasta 150.000 euros.

La respuesta de esta entidad, cortés y amable, fue que habían obtenido mi correo electrónico del listado profesional del Ilustre Colegio de Abogados de Sevilla en su edición de 2010, donde se permite indicar la oposición al tratamiento de esa información con carácter publicitario. Algo que yo no había hecho, por lo que esta entidad entendía que yo autorizaba el envío de comunicaciones comerciales electrónicas.

Mi contestación a dicho argumento fue la siguiente: el hecho de que los datos de los destinatarios de los correos electrónicos con contenido comercial hubieran sido obtenidos de fuentes accesibles al público no exime de la obligación de obtener el consentimiento de los destinatarios de aquéllos para la remisión de envíos publicitarios vía correo electrónico de acuerdo con la LSSI, suponiendo una infracción del artículo 21 de la LSSI.

Les añadí que podían encontrarán numerosos Procedimientos Sancionadores que así lo acreditaban en la web de la AEPD, y les añadí el siguiente extracto del Procedimiento Sancionador 00373-2009:

“En cuanto a las primeras de las fuentes citadas por EL GIRALDILLO como origen de la dirección de correo electrónico del despacho profesional del denunciante, debe tenerse en cuenta que, en contra de lo alegado por la entidad imputada, el hecho de que los datos del destinatario de los correos comerciales denunciados pudieran proceder de la Guía Anual del Ilustre Colegio de Abogados de Sevilla del año 2008 no exime a la entidad imputada de la obligación de obtener el consentimiento previo y expreso del destinatario para la remisión de envíos publicitarios por medios de comunicación electrónica, ya que la LSSI no contempla la excepción recogida por la LOPD para tratar, en envíos publicitarios de naturaleza postal, datos de carácter personal cuyo origen se encuentra en fuentes de acceso público.”

En respuesta a mi contestación, el abogado de dicha entidad, de nuevo muy amablemente, me indicó una Resolución de Archivo de Actuaciones que avalaba lo expuesto por la entidad, que se pueden enviar comunicaciones comerciales por correo electrónico si se obtienen de una fuente accesible al público, el Expediente nº E/01048/2007.

Me indicaba este abogado, también especialista en la materia, que basaban su opinión en el siguiente parágrafo que concatenaba el artículo 6 LOPD con el 21 LSSI:

“En el presente caso, ha quedado acreditado que las direcciones de correos adjuntas a la denuncia figuran en la página web de la Universidad Complutense de Madrid (www…. ) , como un listado de profesionales pertenecientes al ámbito de dicha Universidad, que contiene datos relativos a profesores y personal administrativo, despacho, teléfono y e-mail, con carácter accesible al público y sin limitación alguna.

Una limitación en el uso de los correos electrónicos accesibles a través de la web (www….) podría establecerse mediante su publicación únicamente en la Intranet de la Universidad, o estableciendo alguna medida adicional indicativa de que el titular de dicha dirección electrónica no consiente la recepción de comunicaciones publicitarias, promocionales o ajenas al ámbito propio de su actividad en la Universidad. Tal circunstancia no se ha producido en el presente supuesto.

Teniendo en cuenta que el transcrito artículo 6.2 de la LOPD permite el tratamiento de datos de carácter personal, sin consentimiento inequívoco de los interesados, si dichos datos figuran en fuentes de acceso público y, en este caso, ha quedado acreditado que las direcciones de correo electrónico de los destinatarios de la encuesta de ANÁLISIS E INVESTIGACIÓN, dirigidas a personal de la Universidad Complutense de Madrid, figuran en la pagina web de la misma sin ninguna limitación, procede concluir que en la actuación denunciada no ha existido infracción a la normativa vigente en materia de protección de datos”.

Sin embargo, en mi opinión, creo que no se puede concatenar LSSI y LOPD, pues ambas tienen distintas exigencias, sobre todo en el caso del SPAM, que viene especialmente regulado en la LSSI con independencia de que el destinatario sea una persona física o jurídica, y de que se cumpla o no los requisitos para el tratamiento de datos que exige la LOPD.

Yo la verdad lo veo bastante claro, y en mi opinión, este archivo de actuaciones no hace sino reafirmar lo expuesto anteriormente, pues en este caso no se trata de una comunicación comercial electrónica, sino de una encuesta, y por tanto, como bien estima la AEPD no le es de aplicación la LSSI, que claramente prohíbe el envío de comunicaciones comerciales o publicitarias electrónicas sin consentimiento previo.

Por tanto, partiendo de la base de que no se aplica la LSSI, la normativa que aplica la AEPD es la LOPD, pues las direcciones de correo electrónico son datos de carácter personal. Así, al haberse obtenido dichas direcciones de una fuente accesible al público excepcionan la necesidad de consentimiento de los destinatarios, por lo cual no hay infracción.

Para finalizar y como conclusión, en mi opinión nada tiene que ver el caso con el que suscitó mi reclamación, pues era claramente una comunicación comercial electrónica, y por tanto claramente le es de aplicación la LSSI, por lo que en caso de que alguien denunciara y se comprobara el envío masivo de las mismas es muy probable que dicha entidad se encontrara ante una infracción muy grave sancionada con multa de 150.001 a 300.000 €.

En cualquier caso, las equivocaciones están llenas de personas seguras de lo que opinan, así que me gustaría saber vuestra opinión. Muchas gracias.

Por el interés de este tema, paso a reproducir un artículo del blog de Samuel Parra:

El sistema que ofrece la DGT en su página web para que el ciudadano pueda consultar sus puntos del carnet fue declarado hace más de un año ilegal por la Agencia Española de Protección de Datos al no garantizar la privacidad de los datos accesibles. No obstante, los responsables del sistema en la DGT afirman que no les consta que nadie haya hecho un uso perverso del sistema (accediendo a datos de terceros), por lo que no lo van a cambiar.

El 24 de febrero de 2009 la Agencia Española de Protección de Datos declaró en la Resolución 00372/2009 que

“La Dirección General de Tráfico está obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales contenidos en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al posibilitar que por parte de terceros se pudiera acceder, a través de la página web, a datos personales de titulares del permiso de conducción asociado al saldo de puntos relativos a dicho permiso.”

Se declaraba infringido por tanto el artículo 9 de la Ley Orgánica de Protección de Datos, como infracción grave, y en consecuencia, se le requería para que adoptase las medidas oportunas para atajar esta situación.

Pero antes de continuar, contiene responder ¿por qué el sistema de consulta de puntos del carnet de conducir vulnera la LOPD?

Veamos, para consultar los puntos hay dos vías: la que utiliza el Certificado Digital y la que no. Los problemas vienen por la segunda vía.

Si un ciudadano decide consultar sus puntos sin utilizar certificado digital deberá seguir estas instrucciones que yo resumo de la siguiente manera:

• § 1º: Introduce el NIF.
• § 2º: Introduce la fecha de expedición del primer carnet de conducir.

Si el NIF coincide con la fecha, continúa el proceso:

• § 3º: Introduce tu dirección de correo electrónico (cualquiera, una en @hotmail, @gmail o donde quieras)
• § 4º: Recibe en tu correo electrónico la clave de acceso para consultar los puntos.

El avispado lector habitual de este blog ya debe percibir dónde está el problema.

En primer lugar decir que TODOS aquellos que tengamos carnet de conducir estamos dados de alta en el sistema, es decir, unos 25 millones de ciudadanos.

El problema, según la Agencia Española de Protección de Datos (y creo que según cualquier ciudadano medio) se encuentra en la primera fase del proceso: NIF + fecha

Si queremos curiosear los puntos de cualquier ciudadano solo debemos conocer su NIF (nada difícil hoy en día gracias a los Boletines Oficiales, los buscadores de Internet, etc, o simplemente probamos uno al azar) y luego “descubrir” la fecha, que a estos efectos, haría las veces de “contraseña”.

Ahora bien, ¿cuántas combinaciones posibles de “fechas” puede tener un ciudadano medio? Pocas y menos aun si conoces aproximadamente la edad de la víctima, ya que lo habitual es sacarse el carnet entre los 16 y los 25 años de edad.
Si nos encontramos en este último supuesto estamos hablamos de un total de unas 3650 combinaciones posibles como máximo, menos si quitamos domingos y festivos ya que no sería posible haber obtenido el carnet en uno de esos días.

En la era de informática y la automatización el atacante no estaría toda la mañana probando una a una esas 3650 combinaciones sino que haría un pequeño programa o utilizaría algunos plugins para el Firefox para que el ordenador lo hiciera por él a velocidad ultra-rápida. 3650 combinaciones sería posible probarlas en menos de 15 minutos.

Por supuesto no hay un límite máximo de intentos fallidos al introducir la fecha de expedición, tenemos intentos ilimitados.

Una vez obtenida la fecha de expedición, nos pedirá una dirección de correo electrónica: indicamos la que nos acabamos de abrir en Hotmail a nombre de Superman; en breves minutos recibiremos la contraseña de acceso y ya podremos consultar los puntos del carnet de nuestro vecino, del político o famosete de turno. Es más, si el usuario ya tenía su contraseña para el sistema, ésta se cambiará automáticamente por la que acabamos de recibir.

Pero podemos hacer algo más interesante, quedarnos en la primera parte del proceso. Y es que cuando introducimos el número de NIF válido + la fecha válida, el sistema inmediatamente nos vuelve el nombre y apellidos de esa persona. Un usuario malintencionado podría dejar durante varios días funcionando una aplicación para hacer una base de datos de NIF + Nombre + Apellidos + Fecha del carnet de conducir.

Como decía al principio, esto ha sido declarado ilegal por la AEPD, pero ¿la DGT lo va a cambiar para garantizar la intimidad de los ciudadanos? NO.

Luis de Eusebio, responsable de informática de la DGT, en declaraciones realizadas a El Mundo, afirma que:

“Tráfico reconoce la vulnerabilidad del sistema actual pero no está dispuesto a cambiarlo. A pesar de la contundencia con que Protección de Datos describe cómo de expuesta está la información personal de millones de conductores en los archivos de la DGT, el organismo no se ve obligado desde un punto de vista jurídico a tomar medidas y, por otra parte, tampoco ve factible realizar nuevos cambios en el sistema.”

Y añade:

“El responsable de informática de la DGT, Luis de Eusebio, aclara que el sistema actual de consulta fue aprobado en 2006 por la AEPD y que hasta ahora no se han conocido casos de suplantación de identidad de los conductores.”

Nadie debería asombrarse; en este país estamos acostumbrados a que se aborden cuestiones relativas a la seguridad una vez que ya se han producido los daños, eso de la “prevención” no se lleva. Y es lo que precisamente dice la DGT, hasta que no conste que un tercero ha accedido a los puntos de otra persona no van a cambiar nada. Eso sí, cuando esto ocurra, entonces se podrá exigir responsabilidad patrimonial a la Administración por negligencia en la custodia de la información personal que trata en sus ficheros.

Pero más grave me parece que una Administración, como la DGT, consciente de la ilegalidad de uno de sus servicios, se abstenga de solucionarlo esgrimiendo que “todavía no ha pasado nada”.

La AEPD de hecho tiene competencias para evitar coactivamente esta situación ilegal por parte de la DGT, el artículo 49 de la LOPD indica:

“En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia Española de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia Española de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.”

La AEPD podría inmovilizar ese tratamiento de datos ¿alguien se anima a requerirlo expresamente?

¿Por qué publicar esto ahora y no hace un año? He preferido esperar a ver si las declaraciones que aparecían en el medio de comunicación se cumplian o no, en otras palabras, he estimado que si en un año no han cambiado el sistema a pesar del requerimiento de la AEPD, es que efectivamente no lo van a cambiar hasta que “pase algo”. Y ESTO ES LO QUE CONSIDERO RELEVANTE.

Descargar resolución de la AEPD declarando ilegal el sistema de consulta de puntos de la DGT.

La Agencia Española de Protección de Datos (AEPD) ha rediseñado su página Web y ha incluido nuevos servicios para hacer más accesible su información y acercarse más a los ciudadanos, y al conjunto de usuarios que habitualmente la consultan.

La nueva Web, disponible desde hoy en www.agpd.es mantiene su estructura aunque con revisiones tanto de contenidos como de la forma en que éstos están presentados. Con una imagen más estática y mejor estructurada para hacer más fácil la localización de los contenidos. La nueva Web presenta un mayor uso de la imagen, textos más ligeros y un uso más controlado de las animaciones.

Una de las principales novedades de la Web es la incorporación de las fuentes RSS. Este nuevo desarrollo permitirá suscribirse, y conocer al instante las últimas novedades de informes jurídicos, resoluciones, tutelas de derecho y sentencias más destacadas, así como las notas de prensa, y la agenda diaria. El formato RSS sigue un sencillo esquema por el cual la fuente a la que el usuario se quiere suscribir (por ejemplo, resoluciones) se agrega directamente a la página de favoritos de su navegador, y se actualiza periódicamente. Esto permite al usuario recibir información actualizada sin tener que acceder a la página de la AEPD.

El sitio Web de la Agencia delimita las materias laterales en bloques, dando preferencia al espacio central destinado a los asuntos de actualidad, que ahora cuenta con enlaces más llamativos e intuitivos. Asimismo, el portal destina además bloques individuales entre los que se encuentra uno destinado exclusivamente al objeto de que los ciudadanos conozcan sus derechos, a la actividad internacional de la AEPD, y sus homólogos internacionales.