lunes, 17 de marzo de 2014

2.6 Normes vigents en matèria de protecció de dades i confidencialitat electrònica.

Protecció de dades

És un dret poc conegut i poc aplicat:

Molts tenen fitxers inscrits, alguns informen, pocs tenen cultura de protecció. Parlem de dades personals, no de dades intimes. Les dades personals son dels afectats, no de les empreses, valen molts diners, i el mercat de la informació, la informatica permet enmagatzemar moltes dades que es poden transferir i creuar.Internet, videovigilancia, cal buscar equilibri. 

Hi ha moltes obligacions formals:
  • Documentar per escrit
  • Formar al personal
  • Implantar mesures de seguretat ..

Els afectats depositen confiança en el responsable

Dos figures importants:
  • El responsable: tomador de dades.
  • L´afectat: persona fisica, si professional, no juridica, comerciant individual -depèn-.

Hi ha normes importants: 
  • La LOPD -15/1999-, el RLOPD –RD 1720/2007
  • La LSSICE –34/2002 els correus electrònics
  • La LGT -32/2003- les faxs i les trucades
Hi ha unes agencies encarregades de tutelar el dret:

S´aplica: al tractament (demanar, recollir, tractar, cedir, destruir …) de dades personals referides a persones identificables (noms, cognoms, dni, correu electronic, videovigilancia, fotografies) tant als fitxers manuals o automatitzats.

Ni ha dades molt protegides: ideología, religió, creençes, afiliació sindical, origen racial, salud, vida sexual, infraccions penals i administratives, violencia de gènere.

Mol de compte amb els menors d´edat.



Cal conservar la documentació i si cal destruir-la. 

La proteccio de dades personals

Complir la llei de proteccio de dades es el primer objectiu, ja que segurament es la part mes sensible.

Aqui un gran bloc:  http://www.samuelparra.com/

Temes sensibles
  • Menors, indexacio de perfils
  • Les multes
  • La suplantació d´identitat, es a dir que la identitat d´una persona que ha estat registrada per una altra persona (amb els dominis d´internet aixo es diu cybersquatting)

I que cal fer doncs, en el tractament de dades personals per part del responsable del fitxer o tractament?

Hi ha 3 etapes:

  • Abans del tractament de les dades:
    • Declaració dels fitxers existents a l´AGPD. Estudiar els fitxers que hi ha declarats a l´AGPD i revisar amb el responsable quins tractaments efectua, per si cal declarar-ne algun de nou, modificar els existents o donar-los de baixa.Quins són els fitxers habituals:
      • Personal/recursos humans.
      • Curriculums.
      • Clients/Facturacio.
      • Proveeidors.
      • Comptabilitat.
      • Contactes.
      • Newsletteragpd
      • Internet.
      • Videovigilancia.
  • Mesures de seguretat: capitol VIII rd 1720/2007. Quin és l’objectiu bàsic de les mesures de seguretat?
    • Garantir la seguretat de les dades personals i evitar l’alteració, la pèrdua, el tractament no autoritzat i l’accés no autoritzat a les dades personals.
    • Qui té el deure d’implantar les mesures de seguretat? El responsable del tractament és qui té el deure d’adoptar les mesures de seguretat i preveure tot allò que sigui necessari per garantir que les dades personals estan efectivament protegides. En determinades circumstàncies, aquest deure també afecta els anomenats encarregats del tractament.
    • On s’han d’aplicar les mesures de seguretat? Als centres de tractament, als locals, als equips, als sistemes i als programes. En definitiva, a tot allò relacionat amb el tractament de dades personals.
    • Quins tipus de fitxers o tractaments afecta? Amb caràcter general, les mesures de seguretat han de protegir les dades de caràcter personal, independentment de la seva ubicació o sistema de tractament. Per tant, les mesures s’apliquen a tots els fitxers que continguin dades personals, tant si són automatitzats com si són en suport paper (no automatitzats).
    • Com s’estructuren les mesures de seguretat? El Reial decret 1720/2007, que aprova el Reglament de desenvolupament de la LOPD (RLOPD), dedica el títol VIII a les mesures de seguretat en el tractament de dades de caràcter personal. En primer lloc, es regula una part general, que afecta tot tipus de tractaments i tots els nivells de seguretat (capítols I i II, articles 79 a 88).
    • Després es tracta la regulació de les mesures de seguretat per als tractaments automatitzats, en què s’utilitza l’assignació de nivell de seguretat bàsic, mitjà o alt (capítol III, articles 89 a 104).
    • Finalment, es regulen les mesures de seguretat per als tractaments no automatitzats, seguint el mateix esquema de nivells de seguretat (capítol IV, articles 105 a 114).
A continuació tenim el accés a les pàgines de les agencies de Espanya i Catalunya de protecció de dades:

Agencia Catalana de Protecció de dades

Tots els fitxers i tractaments necessiten les mateixes mesures de seguretat? No. Hi ha tres nivells de seguretat, segons la naturalesa de la informació:
  1. Nivell bàsic
  2. Nivell mitjà
  3. Nivell alt

Però cal tenir en compte que els nivells de seguretat són acumulatius, de manera que en un fitxer de nivell alt s’han d’aplicar també les mesures previstes en els nivells bàsic i mitjà.

Com sabem les mesures de seguretat que cal aplicar en cada cas? Els tres nivells en què s’organitzen les mesures de seguretat, bàsic, mitjà i alt, s’apliquen en funció del tipus de dades objecte del tractament.

Per a cada nivell es descriuen una sèrie de requeriments de protecció de les dades adreçats a determinar què és el que ha de procurar la mesura de seguretat.
No s’estableix com s’ha de fer, excepte en aspectes molt puntuals.

A quins fitxers i tractaments s’apliquen les mesures de nivell bàsic?

A tots els que continguin dades personals. També, en casos particulars:
  • Fitxers o tractaments de dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual quan:
    • Les dades s’utilitzin amb l’única finalitat de fer una transferència de diners a les entitats de què els afectats siguin associats o membres.
    • Es tracti de fitxers o tractaments no automatitzats en què, de forma incidental o accessòria, s’inclouen les dades sense tenir relació amb la seva finalitat.
    • Fitxers o tractaments que continguin dades relatives a la salut quan es refereixin exclusivament al grau de discapacitat o a la simple declaració de la condició de discapacitat o invalidesa de la persona afectada, amb motiu del compliment dels deures públics.

A quins fitxers i tractaments s’apliquen les mesures de nivell mitjà?

  • Als relatius a la comissió d’infraccions administratives o penals.
  • Als relatius a solvència patrimonial i crèdit.
  • A aquells dels quals siguin responsables les administracions tributàries i es relacionin amb l’exercici de les seves potestats tributàries.
  • A aquells dels quals siguin responsables les entitats financeres amb finalitats relacionades amb la prestació de serveis financers.
  • A aquells dels quals siguin responsables les entitats gestores i serveis comuns de la seguretat social i es relacionin amb l’exercici de les seves competències.
  • A aquells dels quals siguin responsables les mútues d’accidents de treball i malalties professionals de la Seguretat Social.
  • A aquells que continguin un conjunt de dades personals que ofereixin una definició de les característiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la personalitat o del comportament d’aquests.
  • Amb particularitats:
    • A aquells dels quals siguin responsables els operadors que prestin serveis de comunicacions electròniques disponibles al públic o explotin xarxes públiques de comunicacions electròniques respecte de les dades de tràfic i les dades de localització. A aquests fitxers se’ls ha d’aplicar, a més, una mesura de nivell alt, la relativa al registre dels accessos a la informació que contenen.
A quins fitxers s’apliquen les mesures de seguretat de nivell alt?:

  • Als que es refereixen a dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual.
  • Als que continguin o es refereixin a dades recollides amb finalitats policials sense el consentiment de les persones afectades.
  • Als que continguin dades derivades d’actes de violència de gènere.

Quines són les mesures de seguretat que s’han d’implementar?

S’han d’implementar les mesures de seguretat previstes al títol VIII del RLOPD, en funció del tipus de dades tractades. Aquestes mesures de seguretat s’han de descriure en el document de seguretat que recollirà les mesures tècniques i organitzatives aplicables al tractament o fitxer.

Com es clasifiquen les mesures de seguretat:

1.- Organitzatives.
2.- Relacionades amb els usuaris
3.- Relacionades amb l’ús de la informació (cicle de vida de la informació):
  • Recollida o captació de dades 
  • Enregistrament 
  • Emmagatzemament 
  • Processament o tractament 
  • Cesio 
  • Conservació 
  • Destrucció 
4.-Relacionades amb les situacions fora del tractament habitual
5.-Relacionades amb situacions excepcionals

 Obligacions del responsable del fitxer

Sobre el responsable del fitxer recauen les principals obligacions establertes per la LOPD i li correspon vetllar pel compliment de la Llei en la seva organització. El responsable deu:
  • Notificar els fitxers davant el Registre General de Protecció de Dades perquè es procedeixi a la seva inscripció.
  • Assegurar-se que les dades siguin adequades i veraces, obtinguts lícitament i legítimament i tractats de manera proporcional a la finalitat per la qual van ser recaptats.
  • Garantir el compliment dels deures de secret i seguretat.
  • Informar als titulars de les dades personals en la recollida d'aquests.
  • Obtenir el consentiment per al tractament de les dades personals.
  • Facilitar i garantir l'exercici dels drets d'oposició al tractament, accés, rectificació i cancel·lació.
  • Assegurar que en les seves relacions amb tercers que li prestin serveis, que comportin l'accés a dades personals, es compleixi el que es disposa en la LOPD.
  • Complir, quan procedeixi, amb el que es disposa en la legislació sectorial que li sigui aplicable.
Confidencialitat electrònica

Navegacio per Internet, us del correu electrónic, etc (protocol us).

Ara tots està als nuvols: he sentit parlar del cloud computing? Això planteja problemes juridics (sla, seguretat, proteccio dades, etc) 

I la gestió de la teva reputació a la xarxa? com que hi ha un nou actor a la xarxa cal, per tant, una nova actitut per a sobreviure a Internet que es diu “la gestio de la reputació online” (ORM, OnLine Reputation Management) es a dir el coneixement i control de l´informació de tota l´informació de l'empresa que pugui afectar-la, ara ja no es fa amb els retalls dels diaris sino amb serveis com wikisearch, que permet ordenar els resultats segons el teu propi criteri.

Un exemple: Busqueda en la web

Que cal fer?:
  1. Glogear cada dia el nom de la empresa o dels directors, treballadors, productes o directament monitoritzar i contractar un software especific.
  2. Crear alertes de noticies a Google y Yahoo amb el nom de de la empresa i dels competidors Google Alerts 

I compte però, amb l´efecte “Barbra Streisand”: La reacció excesiva davant d´una critica.

Una xarxa interna vol dir per tant compartir l´informacio, hi ha models corporatius en que les empreses gestionen el seu coneixement pero:
  • El treballador no vol compartir el seus coneixements: aixó vol dir pèrdua de competitivat professional.
  • Legalment cal fer-ho be: sino, ens coneixeran a totes les xarxes rapidament.

Ja tenim una resposta juridica del Tribunal Suprem (STS 26-09-2007, D. Aurelio Desdentado) sobre l'us del treballador déines com el correu, internet, etc:
  • Possibilitat de control de l’ús de l’ordinador per part empresari i dels arxius temporals dels llocs visitats a traves d'internet.
  • L'empara legal es l'art. 20.3 de l'ET i no a l'art. 18 de l'ET. Article 20.3. Direcció i control de l'activitat laboral:
    • L'empresari podrà adoptar les mesures que estimi més oportunes de vigilància i control per verificar el compliment del treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració deguda a la seva dignitat humana i tenint en compte la capacitat real dels treballadors disminuïts, en el seu cas.
    • Article 18. Inviolabilitat de la persona del treballador. Només podran realitzar-se registres sobre la persona del treballador, a les seves taquilles i efectes particulars, quan siguin necessaris per a la protecció del patrimoni empresarial i del dels altres treballadors de l'empresa, dins del centre de treball i en hores de treball. En la seva realització es respectarà al màxim la dignitat i intimitat del treballador i s'explicarà amb l'assistència d'un representant legal dels treballadors o, en la seva absència del centre de treball, d'un altre treballador de l'empresa, sempre que això fos possible.
    • El control empresarial d'un mitjà de treball (l'ordinador) no necessita una justificació específica cas per cas. Al contrari, la seva legitimitat deriva directament de l'article 20.3 de l'Estatut dels Treballadors.
    • Però hi ha un hàbit social generalitzat de tolerància en l'ús dels mitjans informatics i s´ha creat expectativa de confidencialitat.
    • Per tant s´han establir-se per l'empresari, de conformitat amb les regles de la bona fe, prèviament les normes d'ús (prohibicion absoluta o parcial), d'informant amb caracter previ als treballadors de l'existència del control, els mitjans, les mesures a adoptar, la possibilitat excloure determinades connexions i les mesures aplicables en cas d'incompliment.
    • Si el treballador utilitza aquestes eines en contra de les prohibicions, el poder de control empresarial és legitim ja que és un instrument de produccio i es pot actuar per la protecció del sistema informàtic de l'empresa, que pot ser afectat negativament per determinats usos, i per la prevenció de responsabilitats que per a l'empresa poguessin derivar també algunes formes il·lícites d'ús davant tercers. 



Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)