Un bingo tira en la calle los datos de miles de ludópatas

Los Mossos se dejan decenas de fichas de clientes al retirar los documentos
http://www.elpais.com/articulo/cataluna/bingo/tira/calle/datos/miles/ludopatas/elpepuespcat/20091001elpcat_2/Tes

BERTRAN CAZORLA - Barcelona - 01/10/2009

María Victoria pidió en agosto de 1998 que no se la dejara entrar a más bingos, temerosa de su adicción al juego. Se trata de un detalle de su vida tan remoto como incómodo, que ella no recuerda a gusto. Sin embargo, esa información estuvo ayer durante horas a la vista de los muchos transeúntes que pasaron por la calle de Urgell. También sus apellidos, DNI y domicilio. Constan en la ficha que guardaba el bingo d'Urgell, junto con las de otros miles de personas con problemas de juego, que habían pedido que les fuera prohibido el acceso a las salas.
La noticia en otros webs
• webs en español
• en otros idiomas
"Es como si hubieran violado mi correo", denuncia una afectada

Los dueños del bingo no destruyeron las fichas cuando cerraron el local, hace un año. Ahora, el local se convertirá en un restaurante chino, y quienes lo reforman tiraron anteanoche los papeles a los contenedores de escombros de la calle. "Estoy indignadísima", lamentó Victoria.
"Puede ser una infracción muy grave", apuntó por su parte la directora de la Agencia Catalana de Protección de Datos, Esther Mitjans. Los Mossos d'Esquadra elevaron a este organismo y a la dirección de Juegos y Espectáculos un acta de lo sucedido después de que una vecina de la zona les avisase de que las fichas estaban en la calle. También alertaron a los servicios de limpieza municipales, que retiraron los documentos poco después de la medianoche del martes con el objetivo de destruir las fichas. Unos y otros, sin embargo, lo hicieron de forma bastante deficiente: a primera hora de la tarde de ayer, aún quedaban decenas de papeles en la vía pública.
De la gran cantidad de información que almacenan las salas de bingo da una idea la empleada de un local muy cercano. "Tenemos unos cinco millones de fichas", afirma mientras teclea en un vetusto ordenador los números que le recitan las señoras mayores que quieren entrar en el local. El negocio en el que trabaja abrió en 1980, y, como cualquier bingo, debe registrar los datos de todos sus clientes. Y evitar la entrada de menores y de ludópatas. Las fichas de este último tipo son las que el Urgell ha dejado en plena calle.
"No son datos cualesquiera. Se trata de información sobre enfermedades, sobre salud. Pueden dar lugar a discriminaciones y, por eso, deben tener una especial protección", señaló Mitjans. "Hay indicios de que estamos ante una custodia muy deficiente de datos sensibles", dijo. Esto no es delito, pero sí que puede suponer una sanción de hasta 300.000 euros.
Y quien podría recibirla no es una empresa cualquiera. Según el registro mercantil, en Bingo Urgell estuvo la sede social de Explotaciones Vía Layetana, S.L. Su presidente y consejero delegado es Francisco Javier González Reverte. Este destacado empresario del sector del juego preside, también, el Gremio Catalán de Bingos. Este periódico intentó ayer, sin éxito, recoger su versión de los hechos.
Mientras, el desconcierto de Victoria era considerable al conocer que, sin que ella lo supiese, sus datos habían quedado al descubierto. "Es como si hubiesen violado mi correo. Me gustaría denunciarlo, pero ¿a quién? ¿Y con qué pruebas?", se quejaba. "Me han expuesto a que me roben, me persigan, me agredan", añadía Victoria, que reclamó además un endurecimiento de las sanciones previstas para quien revela datos "que tiene porque uno está obligado a darle". "Habría que haber hasta penas de cárcel", proclamó.

Aumentan las inspecciones en sistemas de videovigilancia

EL IDEAL DE GRANADA
La moda de la videovigilancia multiplica las multas en Granada por violar la intimidad del ciudadano
http://www.ideal.es/granada/20090925/granada/moda-videovigilancia-multiplica-multas-20090925.html

ROCÍO MENDOZA
| GRANADA
El ciudadano debe estar informado de la finalidad de la colocación. / IDEAL
rociomendoza@ideal.es

El ciudadano tiene derecho a exigir por qué se le graba y que su imagen se elimine

La Agencia Española de Protección de Datos redobla el cuerpo de inspectores para luchar contra la falta de adaptación a la normativa
Granada pasó de registrar ningún procedimiento sancionador a seis el año pasado, uno de ellos contra una administración pública

La Agencia Española de Protección de Datos tiene a los sistemas de videovigilancia en el punto de mira. La moda de colocar microcámaras para controlar a empleados o disuadir a los rateros, cada vez más extendida entre comunidades de vecinos, comercios y hoteles, multiplica el número de sanciones por violar la intimidad de los ciudadanos. Esto se debe, más que al propio gesto de grabar, a la falta de adaptación a la normativa. Expertos en la materia auguran una lluvia de sanciones por la ausencia de asesoramiento correcto en este campo, ya que la Agencia está incrementando su actividad sancionadora de forma exponencial en los últimos años.

Hasta hace poco, la actividad del citado organismo era escasa. Pero cada año, desde hace tres, ha convocado oposiciones para ampliar el cuerpo de inspectores y ya ha dado resultados. En el último, la Agencia ha incrementado en toda España su actividad sancionadora en un 50%. Y Granada no es ajena a esta nueva realidad que sorprenderá a más de uno sin los deberes hechos. Los datos de las memorias anuales de la AEPD hablan de ello y son explícitos. El año 2007 transcurrió sin ningún procedimiento sancionador en la provincia de Granada. En el siguiente ejercicio, las cosas cambiaron: fueron seis, uno de los cuales correspondió a una administración pública.

Esta vocación de crecimiento a la hora de vigilar también va acompañada de una mayor conciencia del ciudadano que reclama la protección de sus datos personales, ya sean en ficheros escritos o en imágenes. Según la citada estadística, la única disponible por el momento, según informó a IDEAL la AEPD, las denuncias ciudadanas sumaron 13. En el último año se realizaron en todo el país 1.300 de este tipo de inspecciones a petición popular. «La falta de conocimiento de la ley lleva en ocasiones a la falsa creencia de que esto de cumplir con la protección de datos es poner un par de cláusulas aquí y allá e inscribir unos ficheros en ‘nosequé’ registro. El impresionante crecimiento de la instalación de estos sistemas lleva a incumplimientos públicos y notorios de la ley», valora Manuel Mas, letrado responsable del departamento de Tecnologías de la Información que ofrece el gabinete jurídico granadino Agaz Abogados&Consultores.

Proteccion de datos y buena fe

Ricardo de Lorenzo

Actualización: 23/09/2009 - 16:37H

PROTECCIÓN DE DATOS Y BUENA FE

Hace unos días la Agencia de Protección de Datos de la Comunidad de Madrid ha publicado en su página web (www.apdcm.es) una Resolución en la que condena a un centro de salud por ceder datos de carácter personal a una persona no autorizada.

Los hechos que sin duda llaman la atención y que han dado lugar a esta condena son los siguientes: un menor acude a una consulta del Centro de Salud con su padre; posteriormente el padre recibe una llamada en su domicilio del centro médico solicitándole el número del teléfono móvil de su hijo para ponerse en contacto con él porque se había olvidado algo en la consulta. El padre facilita el número requerido y a continuación el hijo recibe una llamada de una señora amenazándole con presentar una denuncia por haberle robado el bolso en la sala de espera de la consulta.

De la investigación llevada a cabo se desprende que fue el propio facultativo que había atendido al menor quien facilitó a la señora los datos del nombre, domicilio y teléfono ya que ésta, muy alterada, le había comunicado que el chico le había robado el bolso.

A consecuencia de estos hechos, la señora denunció al menor por hurto y fue citado a juicio como imputado de la acusación realizada, asunto que posteriormente fue archivado por el Juzgado.

De conformidad con la Resolución dictada por la Agencia estos hechos conllevan una sanción muy grave ya que el doctor comunicó datos de un paciente a otra paciente. Debe recordarse que el facultativo habría estado legitimado para comunicar los datos a las autoridades judiciales o policiales para proceder a la investigación de la posible infracción penal, pero en ningún caso a una tercera persona, ni siquiera a la víctima del robo.

Al tratarse de una infracción cometida por una Administración Pública no se impone una sanción económica sino una recomendación en la que se insta a la adopción de las medidas adecuadas para que cesen o se corrijan los efectos de la infracción.

No nos cabe duda de que en este caso el facultativo actuó de buena fe, que facilitó una serie de datos en una situación de tensión que se produjo en la sala de espera de un centro médico y que manifestó sus disculpas por escrito a los afectados. Sin embargo, si esta misma situación se hubiera producido en una clínica privada, la multa que se le hubiera impuesto oscilaría entre los 300.000 y los 600.000 euros.

En la Resolución se manifiesta que el centro cumplía con las obligaciones que la Ley Orgánica de Protección de Datos establece. Así, tenía inscrito un fichero en la Agencia de Protección de Datos de la Comunidad de Madrid, se había informado a los trabajadores sobre sus obligaciones respecto de la confidencialidad, realizado cursos de protección de datos, etc…

Lo que esta resolución refleja es que la empresa, aún cumpliendo todos los requisitos que la normativa de protección de datos exige, no está libre de situaciones que pueden generar un incumplimiento de la legislación, ya sea por empleados descontentos, por fallos técnicos o incluso como en este caso, por un acto de buena fe.

Ceder datos en un proyecto común

Quien comparta información para colaborar en una campaña deben respetar el régimen de Protección de Datos.

El Tribunal Supremo ha establecido que el mero hecho de que varias empresas colaboren en un proyecto común “no es, por sí solo, suficiente para quedar dispensadas del requisito del consentimiento de los interesados en la cesión de datos”. En otras palabras, “no pueden cederse libremente cuantos datos estimen convenientes para la realización del proyecto común”.

Una empresa de renombre contrató a una compañía para la realización de una campaña de marketing directo, quien a su vez subcontrató a otras dos firmas, una para gestionar la base de datos del cliente y otra para los servicios de comunicación on line. Para poder llevar a cabo la campaña, la empresa de renombre cedió sin más los datos de clientes, de los que era propietaria, al resto de firmas.

El Supremo advierte de que, en la medida en que se trata de personas distintas, “cada una de las empresas implicadas mantiene su propia posición a efectos de la legislación de protección de datos”. Es decir, el responsable del fichero seguirá siendo únicamente la empresa que decida sobre su finalidad, contenido y uso, mientras que las demás “tendrán la consideración de terceros y sólo podrán ser cesionarias de los datos del fichero si cumplen los requisitos generalmente exigidos”, aclara el fallo.

Advertir sólo a los clientes que sus datos “podrán ser utilizados en ficheros informatizados por el grupo, sus filiales y su red comercial en aquellos asuntos que guarden relación con el presente documento y con la finalidad estrictamente comercial” es “excesivamente genérico”, según indica el Tribunal. Además, no da cobertura a la comunicación de datos a terceras empresas, de las que no consta que pertenezcan a lo que vagamente se denomina “grupo”.

El Supremo tampoco encuentra justificación en el artículo 12 de la Ley Orgánica de Protección de Datos (LOPD), que considera que no hay comunicación de datos si el acceso a ellos es “necesario para la prestación de un servicio al responsable del tratamiento”. Para la Sala, esta excepción no puede aplicarse al caso porque “no consta la existencia de una relación contractual” entre una de las empresas subcontratadas y el grupo. (TS 28/04/2009, Rº 9427/2004)

Publicado en Expansión, el 23-6 por Belén Alandete.

• Descargue la sentencia

Charla informativa sobre Protección de Datos

El próximo dia 16 de Septiembre a las 19 horas doy una charla-coloquio en la sede de IDETSA sobre "Adecuación de la PYME a la Ley de Protección de Datos".

El acto va dirigido a propietarios y/o gerentes de PYMES que se estén planteando adecuar su empresa a la LOPD para los próximos meses, así como a aquellos empresarios y profesionales que en el desarrollo de su actividad traten datos de carácter personal de terceros (clientes, propietarios, trabajadores, etc).

Esta jornada se enmarca dentro de las actividades formativas que tienen programadas para el último trimestre del año. La duración prevista de la charla será de unas 2 horas aproximadamente.

IDETSA (Iniciatives de desnvolupament empresarial, LES TAPIES S.A) es una sociedad creada por los Ayuntamientos de Vandellos y Hospitalet de l' Infant el año 2000, para desarrollar diferentes acciones de desarrollo local. Sus instalaciones, además de dar apoyo a los emprendedores de la zona en la creación de empresas, formación... disponen de más de 1000m2 para la ubicación física de nuevas empresas que trabajen dentro de los ámbitos de las nuevas tecnologías, el conocimiento y el valor añadido.

Nace el DATA PRIVACY INSTITUTE (DPI),

Nace el DATA PRIVACY INSTITUTE (DPI), una iniciativa de ISMS Forum que aglutinará a los expertos en privacidad y protección de datos personales.

14-07-2009

ISMS Forum Spain ha presentado en Madrid, en un acto al que han asistido cerca de cien expertos en privacidad de datos, su nuevo proyecto, el Data Privacy Institute (DPI). Según ha explicado el director de esta iniciativa, Antoni Bosch, el DPI nace con la vocación de aglutinar a todas las personas y organizaciones comprometidas e interesadas en la privacidad y la protección de datos personales; promover la formación de sus asociados y facilitarles cauces de interlocución con las administraciones y autoridades de control. Abierto a profesionales, instituciones, empresas, docentes y estudiantes, “El DPI pretende asimismo ser una vía para la difusión de mejores prácticas en el uso y la protección de los datos personales entre las empresas y particulares españoles y de otros países de habla hispana”, ha añadido Bosch.

Artemi Rallo, director de la Agencia Española de Protección de Datos, ha intervenido en la presentación, resaltando el interés de la Agencia en respaldar iniciativas como el Data Privacy Institute, que faciliten entornos de organización y formación específica para los profesionales que trabajan en privacidad de datos: “La legislación española se ha tomado como modelo en otros países, y nuestro país cuenta con profesionales muy bien preparados, pero es cierto que existía un vacío en la representación y asociación sectorial de estos expertos, no cual no facilita su visibilidad internacional”, aseguró Rallo. “Con la creación del Data Privacy Institute, ISMS Forum Spain viene a subsanar esta carencia, lo cual nos llena de satisfacción”, añadió. Rallo ha comentado, asimismo, algunos de los proyectos en los que trabajan en estos momentos los organismos encargados de velar por la privacidad de datos en una iniciativa coordinada de ámbito internacional. El objetivo principal es lograr que se adopte un marco global que facilite la protección de datos de carácter personal a nivel mundial. Se está trabajando, asimismo, en la revisión de algunos conceptos que con la rápida evolución de las TIC y de los métodos de trabajo han ido quedando obsoletos, como el tan utilizado “fichero”. Entre las actividades a organizar, Bosch, profesor de la Universidad Autónoma de Barcelona, ha explicado que pronto se presentarán iniciativas muy concretas para ofrecer una formación de alto nivel dirigida a los futuros Data Privacy Officers (figura profesional que sin duda se asentará y crecerá en España en los próximos años, fruto de la creciente necesidad de las empresas). Todo ello se concretará en formación de postgrado, seminarios y jornadas sobre privacidad, así como en la futura creación de una certificación específica para el profesional de la privacidad, aún inexistente en nuestro país. Por su parte, Carlos Alberto Sáiz Peña, subdirector del DPI, expuso que "Los asuntos relacionados con la privacidad adquieren cada vez más importancia, tanto en la sociedad civil como en el mundo empresarial y de la Administración Pública. A ello hay que sumar el crecimiento y variedad de las amenazas en el mundo on line que hacen necesario llevar a cabo importantes campañas de sensibilización de ciudadanos y usuarios, concienciación de directivos y una sólida formación de profesionales certificados en el mundo de la privacidad capaces de enfrentarse a los nuevos retos que plantea la actual realidad. En este sentido, el DPI pretende crear un foro neutral de referencia que aglutine a profesionales, empresas, instituciones y estudiantes interesados o comprometidos con la Privacidad y la Protección de Datos". En el acto participó también el vicepresidente del Consejo General de Colegios Oficiales de Médicos de España, Ricard Gutiérrez, quién expresó la preocupación del colectivo médico por la seguridad de la información –abundante, muy sensible y confidencial en el ejercicio diario de su profesión- y por todo lo relacionado con el cumplimiento de la LOPD. “Hemos de reconocer que, aunque en el camino de la modernización ha habido avances importantes, como la receta electrónica o la informatización de los historiales clínicos, aún queda mucho por recorrer en este terreno de la privacidad y la seguridad de la información, fundamentales para nuestra profesión”. Por todo ello manifestó su apoyo a iniciativas como la creación del DPI, que ayudarán a difundir las mejores prácticas en esta materia. También el Instituto Nacional de Tecnologías de la Información (INTECO) ha participado en la presentación pública del DPI y ha ofrecido al mismo su respaldo y apoyo. Ana Belén Santos, responsable de INTECO Cert, recordó algunos llamativos y preocupantes datos obtenidos recientemente por INTECO a partir de encuestas a numerosas empresas. Así, sólo un 14% de las pymes españolas declara conocer el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (en vigor desde abril de 2008); y del total de pymes con ficheros automatizados, solo el 37% afirma haberlos declarado en el registro de la AEPD (peor aún, pues contrastado este dato en la Agencia, sólo un 16% de las pymes los han declarado en realidad).

Presentación del Blog

Hola a todos,
este blog nace con el objetivo de convertirse en un espacio donde compartir con mis clientes y amigos temas relacionados con la privacidad y la seguridad en el ámbito de la protección de datos de carácter personal. Este blog pretende ser también una herramienta de comunicación activa y útil por lo que os animo a que la consultéis y participéis con asiduidad.
Saludos cordiales,