por Vicente Ribes | Ene 25, 2013 | PROTECCION DATOS
Recibimos de una asociación cliente nuestra la siguiente cuestión:
El sábado tenemos la asamblea general ordinaria, puede surgir el tema de los socios que deben la cuota, la pregunta es;
Si algún socio pregunta o quiere saber qué socios tienen deudas ¿estamos obligados a dar esa información? , ¿Podemos facilitar el listado sin que nos lo pidan a modo de presión para que paguen? No sabemos que tratamiento darle a esta información…
RESPUESTA DE ADELOPD: La comunicación de datos está regulada en el artículo 11 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, y se prevé dentro de su apartado primero que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado, salvo que una Ley prevea otra cosa.
En el ámbito de una asociación, las causas de cesión / divulgación de datos personales no están amparadas por ninguna ley (como sí ocurre en el caso de una comunidad de propietarios, que se ha de regular dentro de lo que establece la ley de propiedad horizontal)
A la vista de dicho precepto y en relación con su consulta se le indica que el hecho de formar parte de la Asociación indicada implica el consentimiento de aceptación de su Estatuto y si en el mismo se prevé la posibilidad de que cualquier vecino que lo solicite pueda disponer de un listado de los mismos, el hecho de que se le facilite será legitimo.
Por tanto, una asociación sólo podrá divulgar / ceder datos para los usos legítimos que estén amparados dentro de sus estatutos. Por ejemplo: Si en los estatutos menciona que los socios que no estén al corriente de pagos tendrán voz pero no voto, para poder cumplir los propios estatutos es necesario facilitar a la Asamblea la información sobre qué socios no están al corriente de pagos. Pero si no consta una salvaguarda así en el estatuto de la asociación, no podrá divulgarse esta información.
En el caso de que el estatuto lo permita, sólo podrá citarse el nombre y apellidos del deudor, puesto que facilitar más datos como el importe que adeuda, teléfono de contacto, etc del deudor se podría considerar uso excesivo de la información.
Mucho cuidado también con publicar cualquier tipo de dato personal en un tablón de anuncios al que pueda tener acceso personas ajenas a la asociación (por ejemplo si pueden acceder personas que no sean socios). Muchas sanciones de la AGPD se producen por este motivo.
RESUMIENDO: Cualquier cesión de información ha de estar amparada por una ley, o autorizada por el propio interesado, bien de forma expresa firmando una autorización, o bien de forma tácita, puesto que para formar parte de la asociación ha de aceptar el contenido de su estatuto.
por Vicente Ribes | Jul 25, 2012 | AGPD, PROTECCION DATOS
Analizamos una resolución de la AGPD relativa a una denuncia realizada por Presidente del Consejo General de Colegios Oficiales de Médicos y otros 33 médicos más, que denunciaron a un portal web (masquemedicos.com) por haber tratado datos de médicos sin su consentimiento.
Los denunciantes argumentan que, pese a ser profesionales, el nombre, apellidos, dirección y teléfono de los médicos, en ocasiones coincidían con sus datos particulares y por tanto el portal los había tratado sin su permiso y debía ser sancionado por ello.
El portal argumenta que se trata de datos profesionales obtenidos de fuentes de acceso público, y que dado que se trata de datos profesionales, no están dentro del alcance de la LOPD.
La AGPD adopta una resolución «salomónica», y les da la razón en parte a cada uno. Dice que efectivamente se trata de datos que pueden estar dentro del alcance de la LOPD, pero no sanciona al portal por haberlos tratado. No obstante, deja la puerta abierta para que los médicos interesados ejerzan sus derechos de cancelación / oposición para solicitar el borrado de sus datos dentro del portal.
Enlace a Resolución original.
por Vicente Ribes | Abr 19, 2012 | PROTECCION DATOS
La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, también conocida como LSSI ha sido modificada por el Real Decreto-Ley 13/2012 de 30 de marzo
Una modificación importante para las empresas que realizan campañas de email marketing es que el párrafo final del artículo 21 queda redactado así:
Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.
O sea, que los envíos desde direcciones no-reply@midominio.com han pasado a ser ILEGALES.
Tengan cuidado con sus herramientas de email marketing, puesto que si no tienen en cuenta esta consideración pueden recibir importantes sanciones.
Visto en: http://www.apoyoempresarial.com/noticias/olviden-el-no-reply-en-sus-campanas-de-email-marketing/
por Vicente Ribes | Mar 22, 2012 | SANCIONES
El incumplimiento de la LOPD puede tener aparejado un doble perjuicio económico.
Cuando una empresa se enfrenta a una denuncia ante la AGPD por incumplimiento de la ley de protección de datos o su reglamento de desarrollo, puede enfrentarse a una doble consecuencia:
1) Sanción de la Administración.
En nuestro país, en estos momentos, la sanción mínima es de 900 €, (mínima sanción para una infracción leve con todos los atenuantes), pero si la infracción se puede tipificar como grave, la sanción puede ascender a 600.000 € (Cara al futuro, las nuevas directivas europeas hablan incluso del 5% de la facturación anual de la empresa).
2) Indemnización al afectado.
Las leyes reconocen el derecho a indemnización al afectado. Así una vez acreditada por la Administración a través de la imposición de la correspondiente sanción la vulneración del Derecho, el ciudadano tendrá prueba suficiente para acudir a la vía judicial y solicitar la indemnización que le corresponda.
por Vicente Ribes | Mar 20, 2012 | PROTECCION DATOS
Esta pasada semana, la Fundación Tripartita ha emitido un nuevo comunicado advirtiendo a las empresas de los riesgos de utilizar la formación bonificada como moneda de cambio para pagar implantaciones de LOPD.
Comunicado a las empresas que realizan formación para sus trabajadores, en previsión de errores en las bonificaciones relacionadas con la implantación de sistemas de protección de datos de carácter personal.
La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude.
El Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que este crédito está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores.
La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y puesto en marcha los mecanismos de control oportunos, para constatar las bonificaciones practicadas y evitar en el futuro que las empresas beneficiarias que se bonifican por formación se vean implicadas en una cadena de errores, teniendo que devolver las cuantías bonificadas.
Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.
La Fundación Tripartita hace un llamamiento a todos los usuarios para que en caso de recibir alguna oferta de este tipo de servicios u otros de similares características, contacten con el servicio al cliente de la Fundación en: servicioalcliente@fundaciontripartita.org.
Esta técnica que utilizan algunas consultoras sin escrúpulos «Tú haces un curso de LOPD que te sale gratis y a cambio te regalo los trabajos de implantación» ofrece a los clientes un servicio de pésima calidad (Además no pueden reclamar porque «es gratis, ¿qué más quieres?») pero no sólo eso, sino que les coloca en la diana de la Inspección de Trabajo y Seguridad Social.
Estos sujetos utilizan los créditos de formación de sus clientes para cobrar por su trabajo de adaptación a la LOPD y les prometen a sus clientes que cumplirán la LOPD sin gastarse ni un euro de su bolsillo.
Lo que NO les dicen a sus clientes es:
- Que la calidad del servicio prestado es pésima: Al fin y al cabo, si al cliente le sale gratis, tampoco puede exigir mucho.
- Que están cometiendo un fraude a la Seguridad Social, por utilizar los créditos formativos para una finalidad distinta de la que tienen por ley: Se aplican a consultoría en lugar de a formación
- Que están siendo cómplices de un fraude a la Agencia Tributaria por no haber pagado el IVA de una actividad (consultoría), que tributa el 18% y haberla camuflado falsamente como formación (que tiene IVA 0%)
- Que para cuando se descubra el pastel, los «consultores» habrán cerrado el chiringuito, pero la Inspección de la Seguridad Social y la de la Agencia Tributaria repasarán el listado de clientes que se han beneficiado de esas subvenciones y le reclamarán a cada cliente la devolucíon del importe de los créditos consumidos en los años anteriores, más la sanción de la Inspección de la Seguridad Social, más el IVA no ingresado, más la sanción de la Agencia Tributaria.
Las empresas que se preocupan de adaptarse a la LOPD lo hacen para cumplir la ley y evitar el riesgo de sanciones. Pero ningún cliente informado aceptará adaptar su empresa para cumplir la LOPD a base de cometer fraude a la Seguridad Social y a la Agencia Tributaria.
por Vicente Ribes | Mar 16, 2012 | PROTECCION DATOS
La dirección de uno de nuestros clientes nos plantea la siguiente cuestión:
Han venido a verme del sindicato X y me han pedido los datos de mis trabajadores para poder ponerse en contacto con ellos a los efectos de facilitarles información sindical para las elecciones sindicales.
¿Debo hacerlo o debo negarme? Si tengo que cederles los datos ¿tengo que tomar alguna precaución?
Respuesta de ADELOPD:
La regla general en cuanto a cesión de datos es que no se deben ceder sin el consentimiento expreso del afectado, salvo que dicha cesión esté amparada por una ley (Por ejemplo la legislación tributaria obliga a ceder a la Agencia Tributaria información de las nóminas y retenciones practicadas a cada trabajador)
La Agencia Española de Protección de Datos en su informe llega a las siguiente conclusiones:
En virtud de todo lo dispuesto, podemos concluir que el artículo 28.1 de
la Constitución Española, habilita a que se comuniquen las direcciones de
correo electrónico de los trabajadores a las secciones sindicales mas
representativas, estando por tanto la cesión amparada en el artículo 11.2 a) de
la Ley Orgánica 15/1999.
Por tanto la empresa no debe obstaculizar la labor sindical. La cesión de estos datos está perfectamente legitimada, por lo que la empresa debe ceder los datos de sus trabajadores al sindicato que lo solicite, siempre y cuando redacte un documento que refleje esta cesión.
El sistema integral de protección de datos de Adelopd contiene un modelo de este documento con todas las cláusulas necesarias para que el empresario pueda demostrar que ha actuado al 100% dentro de la legalidad.
por Vicente Ribes | Mar 15, 2012 | PROTECCION DATOS
La Sentencia 8 de febrero de 2012 del Tribunal Supremo, en la que invalida uno de los artículos del Reglamento de desarrollo de la LOPD ha suscitado un montón de titulares sensacionalistas:
– España: empresas tratarán datos personales sin consentimiento
– Las empresas podrán comercializar datos personales sin pedir permiso
– El Tribunal Supremo legaliza el uso de datos personales sin consentimiento (y con ánimo de lucro)
– Las operadoras podrán ceder los datos personales de clientes sin consentimiento previo
– El Supremo permite utilizar datos de los usuarios sin consentimiento
¿Significa esto que se ha desmontado la LOPD? Para nada.
En la sentencia, la Sala acuerda: Suspender única y exclusivamente el procedimiento respecto de la
impugnación del artículo 10 del reglamento LOPD, que queda redactado así:
Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos.
1. Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello.
2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
a. Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:
El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
b. Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.
El Tribunal Supremo ha estimado que esa doble condición de exigir la condición uno “datos procedentes de fuentes accesibles al público” Y la condición dos “interés legítimo” para ceder o tratar datos personales sin consentimiento es contraria al derecho comunitario, que exige únicamente la condición “interés legítimo”.
Ahora viene la pregunta del millón:
¿Eso concede carta blanca a las empresas para hacer lo que quieran con nuestros datos sin nuestro consentimiento?
Claramente todas las empresas tienen derecho a ganar dinero ¿Ese ánimo de lucro justifica que las empresas puedan de ceder o tratar datos personales sin el consentimiento del interesado?
Es casi seguro que la empresa que decida hacerlo argumentando como “interés legítimo” su interés en lucrarse con los datos personales de los ciudadanos, se arriesga a que la propia AGPD y en su caso, un Tribunal, estimen que ese interés no es tan legítimo como nuestro derecho a la protección de nuestros datos personales, que es el que inspira toda la ley europea y española.
Es harto probable, que ese comportamiento constituya una infracción grave y que a la empresa le apliquen una sanción entre 40.000 y 300.000 euros.
Cuando todo este asunto se vaya aclarando, bien con jurisrpudencia o bien ampliando/ modificando el reglamento, se delimitará el concepto de “interés legítimo” que en ningún caso estará por encima de los derechos fundamentales de las personas.
Así que, no se deje llevar por esos titulares sensacionalistas que hemos visto en días pasados. Podemos estar razonablemente tranquilos. Con la bandera del interés legítimo no se van a justificar comportamientos como la venta de bases de datos para envíos de emails masivos no solicitados (SPAM) que está específicamente prohibido por la LSSI (que no ha sido derogada ni lo será).
Esto no es el fin de la privacidad, ni de la protección de datos. Es simplemente armonizar las leyes españolas para que cumplan el derecho europeo.
por Vicente Ribes | Feb 2, 2012 | NOTICIAS EMPRESA
¡Adáptese a la LOPD con las nuevas técnicas del siglo XXI!. Ahora adaptarse a la LOPD y cumplirla es mucho más fácil. Le entregamos una serie de herramientas para facilitar el trabajado tanto de la empresa como de cada uno de los empleados. Pida su presupuesto gratuito en www.proteccion-datos.org y comprobará que cumplir la LOPD no es caro. Le damos más servicio y calidad a un precio increíble. Nuestro lema es: SIEMPRE AL DIA Y SIN PAPELES.
por Vicente Ribes | Ene 26, 2012 | PROTECCION DATOS
Muchas empresas no terminan de cumplir los requerimientos obligatorios en materia de protección de datos a la hora de gestionar la información con datos personales. Los organismos deben de ententender que es indispensable proteger la información sobre empleados y clientes , esto debería ser algo natural en nuestro día a día.
Ver información completa www.diariojuridico.com
por Vicente Ribes | Ene 17, 2012 | PROTECCION DATOS
La AEPD impuso una multa de 40.000 euros a IKEA por grabar imánes de espacios públicos, fuera de las intalaciones, que la multinacional tiene en el centro comercial Marineda City sin advertir a los transeúntes que estaban siendo grabados.
Ver información completa www.laopinioncoruna.es
