Registros de usuarios de cafenets o locutorios

locutorio

Por Alexander Díaz García

Quisiera compartir con ustedes la conversación que sostuve con mi respetado forista Argentino de Procedimientos Policiales Andrés Penachino, me comparte la inquietud que tienen las autoridades de su país en tratándose de seguimientos de usuarios por parte de su Policía Judicial, que suben ilegalmente imágenes (fijas o móviles) de datos sensibles en locutorios (cafenets) y le he aportado lo que le sugerí al Alcalde Popular del Municipio de Rovira Tolima Colombia, pues allí tambíen se estaban presentado este uso ilícito, y nos ha dado éxito relativo. En Colombia hemos tipificado esta conducta como violación de dats personales, artículo 269 F de la Ley 1273 de 2009.

La publicación ilegal  de información de datos sensibles (imágenes móviles o fijas) es y ha sido un problema que se estaba tornando difícil de resolver para las autoridades de policía y judiciales, no sólo en Argentina, sino yo creo que en muchos países incluso en Colombia; no obstante diseñé una fórmula muy sencilla para solucionar ese problema, cuál es obligar all usuario del locutorio (cafenet) se identifique y registrar su ID en el libro de usuarios, en donde aparecerá nombre, máquina asignada, fecha de servicio, tiempo comprado y tiempo real agotado.

El usuario que se ha registrado en las condiciones arriba anotadas puede ser facilmente localizado puesto que todo documento electrónico tiene metadatos y con base a esa información logramos la fecha de realización del mismo, también podremos direccionar la IP y llegar a la máquina que se le asignó en forma fija o aleatoría la dirección encontrada. Una vez con ella llegaremos a la dirección física, esto es al locutorio, y  allí estableceremos en el libro de usuarios quienes estaban para esa fecha, a esa hora y en esa máquina realizando la publicación del documentos inadecuados.

Sin este procedimiento es muy difícil localizar al infractor, puesto en la mayoría de las ocasiones los ISP asignan direcciones IP dinámicas por el volúmen de usuarios que existen en el país y es por eso que en una fracción de tiempo (vg. una hora) pueden asignar más de una dirección IP y si no se tiene registro de usuarios en esas fracciones de tiempo no podremos dar con el o los autores de delitos informáticos. Es una buen fórmula para que la apliquemos los países que aún no la aplican, le facilitaríamos la tarea a nuestros informáticos forenses de atacar el delito.

Otro inconveniente que existe en este proceso de investigación criminal, pero será tema de otra nota, es el tiempo de conservación de los ficheros históricos de los ISP, en Colombia hemos tenido problemas con TELMEX pues este operador solo los conserva por dos (2) meses, agotado éste no se podrá obtener ninguna información sobre la asignación de usuario en direcciones IP dinámicas.

El Aviso de Privacidad en la legislación mexicana

aviso_privacy

Por Joel Gómez Treviño

En columnas anteriores he comentado temas relacionados a la protección de datos personales, dada la importancia que tiene la ley de la materia en las actividades cotidianas de prácticamente todas las empresas y profesionistas. El aviso de privacidad es el documento más importante y obligatorio a la luz de la ley y su reglamento. Este instrumento lo define la ley como el “documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley”. El responsable es la “persona física o moral de carácter privado que decide sobre el tratamiento de datos personales”. Existe la creencia de que con solo leer el famoso artículo 15 y 16 de la ley es suficiente para redactar el aviso de privacidad, lo cual es falso, pues hay que tomar en cuenta lo que a su vez dice el reglamento de la ley.

En términos generales y sin profundizar en temas legales, las características y contenidos de un aviso de privacidad deben ser los siguientes:

1.        Debe estar redactado de manera sencilla, clara y comprensible; con estructura fácil de leer;

2.        Debe estar sujeto al consentimiento del titular; y contener lo siguiente:

3.        Identidad y domicilio del responsable;

4.        Finalidades del tratamiento de datos:

•          Información que se recaba de los titulares y con qué fines;

•          Las finalidades deberán ser determinadas (ser específicas, deben informar claramente para qué objeto serán tratados los datos personales);

•          Identificar y distinguir entre las finalidades que dieron origen y son necesarias para la relación jurídica entre el responsable y el titular, de aquéllas que no lo son.

•         Mecanismo para manifestar negativa de aquellas finalidades que no son necesarias para la relación jurídica entre el responsable y el titular.

•          Si existen, se deberán incluir las finalidades relativas al tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial.

5.        Opciones y medios para limitar uso o divulgación de los datos personales;

6.        Medios para ejercer los derechos ARCO (acceso, rectificación, cancelación y oposición);

7.        Si hay transferencias de datos (Si el titular acepta o no la transferencia de sus datos);

8.        Procedimiento para comunicar cambios al aviso de privacidad.

Omitir en el aviso de privacidad, alguno o todos los elementos anteriores puede culminar en una multa que impondrá el IFAI al responsable de los datos personales, que puede ser de entre $6,233 a $9,972,800 pesos. Otras infracciones relacionadas con el aviso de privacidad pueden repercutir en una multa de hasta $19,945,600 pesos. ¡Usted decide si hace caso omiso de estas recomendaciones! Recuerde, copiar y pegar los anteriores puntos en su aviso de privacidad es como auto recetarse una aspirina… de momento le puede quitar el dolor de cabeza, pero a la larga le puede salir el caldo más caro que las albóndigas.

Central de riesgos, solvencia y protección de datos

centrla-riesgos

Por Daniel A. López Carballo

Según hace referencia el propio Banco de España, la Central de Información de Riesgos recoge el historial crediticio de las personas físicas y jurídicas para facilitar a las entidades el análisis de sus riesgos de crédito.

Con carácter general, las entidades declarantes (entidades de crédito y otras) tienen la obligación de informar sobre los riesgos directos con residentes por importe igual o superior a 6.000 euros en el conjunto de negocios en España o a 60.000 euros en cualquier otro país. Para los no residentes, la obligación de declarar es a partir de 300.000 euros.

El propio artículo 59 de la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero la define como “un servicio público que tiene por finalidad recabar de las entidades declarantes a que se refiere el apartado primero del artículo siguiente, datos e informaciones sobre los riesgos de crédito, para facilitar a las entidades declarantes datos necesarios para el ejercicio de su actividad; permitir a las autoridades competentes para la supervisión prudencial de dichas entidades el adecuado ejercicio de sus competencias de supervisión e inspección; contribuir al correcto desarrollo de las restantes funciones que el Banco de España tiene legalmente atribuidas”.

Los datos declarados permiten al Banco de España conocer los créditos totales concedidos, lo que facilita el ejercicio de sus competencias de supervisión bancaria.

Por su parte, las entidades que declaran sus riesgos a la Central de Información de Riesgos del Banco de España reciben mensualmente información agregada del riesgo contraído por las personas físicas y jurídicas para las que han hecho una declaración (los llamados titulares).

El artículo 60 de la citada Ley establece que la entidades declarantes deberán facilitar “los datos necesarios para identificar a las personas con quienes se mantengan, directa o indirectamente, riesgos de crédito, así como las características de dichas personas y riesgos, incluyendo, en particular, las que afecten al importe y la recuperabilidad de éstos. Esta obligación se extenderá a los riesgos mantenidos a través de entidades instrumentales integradas en los grupos consolidables de las entidades declarantes, y a aquellos que hayan sido cedidos a terceros conservando la entidad su administración.

Entre los datos a los que se refiere el párrafo anterior se incluirán aquellos que reflejen una situación de incumplimiento, por la contraparte, de sus obligaciones frente a la entidad declarante, así como los que pongan de manifiesto una situación en la cual la entidad estuviera obligada a dotar una provisión específica en cobertura de riesgo de crédito, según lo previsto en las normas de contabilidad que le sean de aplicación.

Los datos referentes a las personas mencionadas en el presente apartado no incluirán, en ningún caso, los regulados en el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

Cabe recordar que el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de crácter personal se refiere a los datos especialmente protegidos “1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo. 2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. 3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. 4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. 5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras. 6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento”.

Mediante el Decreto Ley 18/1962, se crea el fichero “Central de Información de Riesgos” cuyo artículo 16 se prevé: “El Banco de España  establecer á un Servicio Central de información de Riesgos en relación con las operaciones de crédito de la Banca, Cajas de ahorro y demás entidades de crédito”.

La Norma Segunda de la Circular 3/1995, de 25/09, modificada por la Circular 3/2002, de 25/06, del Banco de España obliga a las entidades bancarias a informar mensualmente al Servicio Central de Información de Riesgos del Banco de España de los riesgos contraídos y de sus titulares, considerando como riesgos declarables los denominados indirectos, esto es, los contraídos por la entidad con quienes garantizan o avalan operaciones de riesgos indirectos tales como avales, afianzamiento y garantías personales

La Circular 3/1995, de 25/09, establece en su norma novena: “1. Cualquier titular podrá solicitar la información que contiene la Central de Información de Riesgos sobre él…2. Si el titular observara alguna inexactitud en los datos detallados que le hubiera facilitado la CIR, deberá dirigirse a las entidades declarantes solicitando su rectificación… La CIR suspenderá la cesión a terceros de datos sobre los que exista duda fundada sobre su exactitud. 3. Lo dispuesto en los apartados precedentes se entiende sin perjuicio de los derechos de acceso, rectificación y cancelación que amparan a la s personas físicas, según lo dispuesto en la Ley 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal”, actualmente Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal”.

El artículo 64 de Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero, referido a “Conservación de los datos”, establece que “los datos registrados en la CIR se conservarán durante diez años contados desde la fecha a la que se refieran, cancelándose una vez transcurrido dicho plazo. No obstante, podrán conservarse indefinidamente mediante procedimientos que no permitan la identificación del afectado, atendiendo a sus valores históricos, estadísticos o científicos. También podrán conservarse indefinidamente los datos que identifiquen a las personas jurídicas para permitir el ejercicio de las finalidades contempladas en los guiones segundo y tercero del apartado primero del artículo 59 de la presente Ley (…). Conforme a lo previsto en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el Banco de España adoptará las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos registrados en la CIR y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural”.

En relación a la seguridad de los datos el artículo 9 de la Ley Orgánica 15/1999 establece que “el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”.

Es importante recordar, en relación a la exactitud de los datos recogidos pro la Central de Información de Riesgos que (artículo 9 de la citada Ley Orgánica), “los datos de c a rácter personal s e rán exactos y puestos al día de for m a que res pondan con v e racidad a la  situación actual del afectado ”.

No obstante, cualquier entidad puede pedir información concreta de un titular si este le solicita una operación de riesgo o figura como obligado al pago o garante en documentos cambiarios o de crédito cuya adquisición o negociación haya sido solicitada a la entidad.

En relación a los ejercicios de derechos e acceso el Banco de España, a través de su web informa que “Cualquier persona física (un individuo) o jurídica (una sociedad) puede acceder de forma gratuita a toda la información que está a su nombre en la CIR.

El acceso puede hacerse de tres formas:

  • 1. A través de la Oficina Virtual del Banco de España, siendo el único requisito imprescindible para ello disponer de firma digital: para informes de personas físicas, DNI electrónico certificado de firma digital de la Fábrica Nacional de Moneda y Timbre y, para personas jurídicas, certificado de personas jurídicas de este Organismo.
  • 2. Ir a las oficinas de la Central de Información de Riesgos, en la sede del Banco de España en la calle Alcalá, 48, de Madrid, o a cualquiera de sus sucursales en horario de 8.30 a 14 horas. El solicitante deberá identificarse suficientemente, presentando su DNI, NIE, pasaporte u otro documento válido.
  • 3. Pedirlo por carta, a la Central de Información de Riesgos de Madrid en la siguiente dirección: Banco de España. Información Financiera y Central de Riesgos C/ Alcalá, 48. 28014 Madrid

Los requisitos de la solicitud son:

Debe ir firmada por el titular, adjuntando fotocopia legible de ambas caras del DNI, NIE, pasaporte u otro documento válido que le identifique, e indicando la dirección para su envío por correo certificado (preferiblemente el domicilio particular).

En caso de que el informe de riesgos lo solicite un representante del titular, será necesario que se aporte fotocopia del documento público que acredite su derecho a obtener información en nombre del representado, así como el DNI, NIE, pasaporte u otro documento válido que identifique al representante.

No obstante lo anterior, el Banco de España, en defensa de la confidencialidad de los datos, se reserva la posibilidad de ampliar las exigencias de información necesarias cuando tenga dudas sobre la correcta identificación de quien solicita los datos”. Sobre el ejercicio del derecho de rectificación “los titulares que consideren que los datos declarados por las entidades a la Central de Información de Riesgos (CIR) son inexactos o incompletos deben dirigirse a la entidad que ha facilitado la información errónea para pedir su rectificación o cancelación. También pueden hacerlo a través del Banco de España, que hará la gestión ante la entidad declarante. En este caso, el titular enviará al Banco de España un escrito, con los mismos requisitos establecidos para el derecho de acceso, en el que se especificarán los datos erróneos y las razones de la petición (…) El procedimiento que se sigue para la tramitación de las solicitudes presentadas, así como sus efectos, se recogen en el apartado 2 de la norma novena de la Circular 3/1995, de 25 de septiembre”.

Por último, el Banco de España, en relación al procedimiento de reclamación contra una entidad por disconformidad con lo declarado a la Central de Información de Riesgos, informa que “si una persona física o jurídica considera que los datos declarados a la CIR a su nombre son inexactos o incompletos podrá dirigirse directamente a la entidad o entidades declarantes requiriendo su rectificación o cancelación, o solicitar al Banco de España que tramite su reclamación, para lo cual deberá identificar los datos que considera erróneos, así como justificar por escrito las razones y alcance de su petición (Articulo 65 de la Ley 44/2002 de Medidas de Reforma del Sistema Financiero). La CIR, al no ser la acreedora, no puede modificar los riesgos declarados por las entidades que son las responsables de su declaración y quienes deben realizar las modificaciones. El Banco de España dará traslado, siempre que así lo estime, de las solicitudes de rectificación o cancelación a la entidad o entidades declarantes de los datos supuestamente inexactos o incompletos. Las entidades deberán contestar tanto al reclamante como a la CIR (cuando la reclamación se hubiese tramitado a través del Banco de España), en el plazo máximo de 15 días hábiles, si el reclamante es una persona física, y de 20 días hábiles si se trata de una persona jurídica. El plazo se contará desde la recepción de la reclamación en cualquiera de las oficinas de la entidad.

Si la entidad accediese a lo solicitado por el reclamante, deberá enviar de inmediato a la CIR una declaración complementaria con las rectificaciones o cancelaciones de todos los datos declarados erróneamente. La CIR comunicará los datos corregidos a las entidades a las que previamente les hubiese cedido los erróneos. Si, por el contrario, la entidad se ratifica en su declaración, deberá justificar los motivos de su decisión. En este último caso la CIR prorrogará la suspensión de la cesión de los datos controvertidos durante dos meses más, salvo que el titular admita la justificación dada por la entidad, en cuyo caso se desbloquearán inmediatamente”.

Derecho de la Seguridad de la Información en México

seguridad-de-la-informacion

Por Joel Gómez Treviño

Desde el año 2006, el municipio de Westchester, Nueva York, se hizo famoso por aprobar la primera ley en su tipo que ordena a los negocios asegurar sus hotspots. Dicha ley requiere a todos los negocios comerciales que almacenen, usen o mantengan información personal en medios electrónicos, que tomen medidas mínimas de seguridad, tales como instalar un firewall, cambiar el nombre incluido en todos los paquetes de una red inalámbrica (Service Set IDentifier – SSID), o deshabilitar la transmisión SSID. Los que incurran en una violación recibirán una amonestación la primera vez, una multa de $250 dólares la segunda vez y si hay una tercera, $500 dólares.

México no es la excepción. Cada vez existen más elementos para avistar el nacimiento de una nueva área del derecho a la que yo he optado por bautizar como “derecho de la seguridad de la información”. Podríamos definir a esta rama de las ciencias jurídicas como aquella que busca brindar seguridad y confidencialidad a la información que sea: sensible, reservada, privada, secreto industrial, secreto bancario, secreto profesional, secreto técnico, secreto comercial, secreto de fabricación, dato personal, entre otros.

En términos generales, los propios abogados suelen visualizar solo dos o tres áreas en que se debe proteger o resguardar la información: secretos industriales, secreto bancario y datos personales. Sin embargo, son ya muchas las leyes, reglamentos, códigos y acuerdos que obligan a trabajadores, profesionistas, responsables de datos, empresarios, proveedores e instituciones de crédito a proteger la información contenida en medios físicos, electrónicos y sistema informáticos, contra accesos y usos no autorizados, con la finalidad de conservar su confidencialidad, integridad y disponibilidad.

A continuación le presento un amplio catálogo de obligaciones legales en materia de confidencialidad y seguridad de la información:

Ley Reglamentaria del Artículo 5° Constitucional, relativo al Ejercicio de las Profesiones en el D.F.

Artículo 36.- Todo profesionista estará obligado a guardar estrictamente el secreto de los asuntos que se le confíen por sus clientes, salvo los informes que obligatoriamente establezcan las leyes respectivas.

Ley de la Propiedad Industrial

Artículo 84.- La persona que guarde un secreto industrial podrá transmitirlo o autorizar su uso a un tercero. El usuario autorizado tendrá la obligación de no divulgar el secreto industrial por ningún medio.

Artículo 85.- Toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, deberá abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.

Artículo 86.- La persona física o moral que contrate a un trabajador que esté laborando o haya laborado o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, será responsable del pago de daños y perjuicios que le ocasione a dicha persona.

Código de Comercio

Artículo 20.- El Registro Público de Comercio operará con un programa informático y con una base  de datos central interconectada con las bases de datos de sus oficinas ubicadas en las entidades  federativas. Las bases de datos contarán con al menos un respaldo electrónico.

Mediante el programa informático se realizará la captura, almacenamiento, custodia, seguridad,  consulta, reproducción, verificación, administración y transmisión de la información registral.

Artículo 30 bis.- La Secretaría podrá autorizar el acceso a la base de datos del Registro Público de  Comercio a personas que así lo soliciten y cumplan con los requisitos para ello, en los términos de este Capítulo, el reglamento respectivo y los lineamientos que emita la Secretaría, sin que dicha autorización implique en ningún caso inscribir o modificar los asientos registrales.

La Secretaría expedirá los certificados digitales  que utilicen las personas autorizadas para firmar  electrónicamente la información relacionada con el Registro Público de Comercio y demás usuarios; asimismo, podrá reconocer para el mismo fin certificados digitales expedidos por otras autoridades certificadoras siempre y cuando, a su juicio, presenten el mismo grado de confiabilidad y cumplan con las medidas de seguridad que al efecto establezca la Secretaría.

Artículo 99.- El Firmante deberá:

IV. Responder por las obligaciones derivadas del uso no autorizado de su firma, cuando no hubiere obrado con la debida diligencia para impedir su utilización, salvo que el Destinatario conociere de la inseguridad de la Firma Electrónica o no hubiere actuado con la debida diligencia.

Artículo 102.- Los Prestadores de Servicios de Certificación que hayan obtenido la acreditación de la Secretaría deberán notificar a ésta la iniciación de la prestación de servicios de certificación dentro de los 45 días naturales siguientes al comienzo de dicha actividad.

A)  Para que las personas indicadas en el artículo 100 puedan ser Prestadores de Servicios de Certificación, se requiere acreditación de la Secretaría, la cual no podrá ser negada si el solicitante cumple los siguientes requisitos, en el entendido de que la Secretaría podrá requerir a los Prestadores de Servicios de Certificación que comprueben la subsistencia del cumplimento de los mismos:

I. Solicitar a la Secretaría la acreditación como Prestador de Servicios de Certificación;

II. Contar con los elementos humanos, materiales, económicos y tecnológicos requeridos para prestar el servicio, a efecto de garantizar la seguridad de la información y su confidencialidad;

III. Contar con procedimientos definidos y específicos para la tramitación del Certificado, y medidas que garanticen la seriedad de los Certificados emitidos, la conservación y consulta de los registros;

Artículo 104.-  Los Prestadores de Servicios de Certificación deben cumplir las siguientes obligaciones:

V. Guardar confidencialidad respecto a la información que haya recibido para la prestación del servicio de certificación;

VII. Asegurar las medidas para evitar la alteración de los Certificados y mantener la confidencialidad  de los datos en el proceso de generación de los Datos de Creación de la Firma Electrónica.

Ley Federal de Protección al Consumidor

Artículo 76 bis.- Las disposiciones del presente Capítulo aplican a las relaciones entre  proveedores y consumidores en las transacciones efectuadas a través del uso de medios electrónicos,  ópticos o de cualquier otra tecnología. En la celebración de dichas transacciones se cumplirá con lo  siguiente:

I. El proveedor utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización  expresa del propio consumidor o por requerimiento de autoridad competente;

II. El proveedor utilizará alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informará a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos;.

Ley Federal de Protección de Datos Personales en Posesión de Particulares

Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

Artículos 63 y 64.- La multa por incumplir el deber de confidencialidad respecto de cualquier fase del tratamiento de datos personales puede ser de hasta $19,142,400 pesos (320,000 salarios mínimos).

Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares

El artículo 2 define los siguientes términos:

V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales;

VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:

a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;

b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;

c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y

d) Garantizar la eliminación de datos de forma segura;

VII. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:

a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;

b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;

c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y

d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales;

Capítulo III.- De las Medidas de Seguridad en el Tratamiento de Datos Personales:

  • Alcance
  • Atenuación de sanciones
  • Funciones de seguridad
  • Factores para determinar las medidas de seguridad
  • Acciones para la seguridad de los datos personales
  • Actualizaciones de las medidas de seguridad
  • Vulneraciones de seguridad
  • Notificación de vulneraciones de seguridad
  • Información mínima al titular en caso de vulneraciones de seguridad
  • Medidas correctivas en caso de vulneraciones de seguridad

Ley Federal del Trabajo

Artículo 47.- Son causas de rescisión de la relación de trabajo, sin responsabilidad para el patrón:

IX. Revelar el trabajador los secretos de fabricación o dar a conocer asuntos de carácter reservado, con perjuicio de la empresa;

Artículo 134.- Son obligaciones de los trabajadores:

XIII. Guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurran directa o indirectamente, o de los cuales tengan conocimiento por razón del trabajo que desempeñen, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa.

Código Penal Federal

Artículo 210.- Se impondrán de treinta a doscientas jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin  consentimiento del que pueda resultar perjudicado, revele algún secreto o comunicación reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto.

Artículo 211.- La sanción será de uno a cinco años, multa de cincuenta a quinientos pesos y suspensión de profesión en su caso, de dos meses a un año, cuando la revelación punible sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial.

Artículo 211 Bis.- A quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de seis a doce años de prisión y de trescientos a seiscientos días multa.

Ley de Instituciones de Crédito

Artículo 117.- La información y documentación relativa a las operaciones y servicios a que se refiere el artículo 46 de la presente Ley, tendrá carácter confidencial, por lo que las instituciones de crédito, en protección del derecho a la privacidad de sus clientes y usuarios que en este artículo se establece, en ningún caso podrán dar noticias o información de los depósitos, operaciones o servicios, incluyendo los previstos en la fracción XV del citado artículo 46, sino al depositante, deudor, titular, beneficiario, fideicomitente, fideicomisario, comitente o mandante, a sus representantes legales o a quienes tengan otorgado poder para disponer de la cuenta o para intervenir en la operación o servicio.

Artículo 46 Bis 1.- Las instituciones de crédito podrán pactar con terceros, incluyendo a otras instituciones de crédito o entidades financieras, la prestación de servicios necesarios para su operación, así como comisiones para realizar las operaciones previstas en el artículo 46 de esta Ley, de conformidad con las disposiciones de carácter general que expida la Comisión Nacional Bancaria y de Valores, previo acuerdo de su Junta de Gobierno.

Lo dispuesto en el artículo 117 de esta Ley le será también aplicable a los terceros a que se refiere el presente artículo, así como los representantes, directivos y empleados de dichos terceros, aún cuando dejen de laborar o prestar sus servicios a tales terceros.

Ley Federal de Seguridad Privada

Artículo 15. Fracción V. Seguridad de la información. Consiste en la preservación, integridad y disponibilidad de la información del prestatario, a través de sistemas de administración de seguridad, de bases de datos, redes locales, corporativas y globales, sistemas de cómputo, transacciones electrónicas, así como respaldo y recuperación de dicha información, sea ésta documental, electrónica o multimedia.

Acuerdo por el que se establece el Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública Federal

Artículo 2. Para los efectos del presente Acuerdo, se entenderá por: Ciberseguridad: a la aplicación de un proceso de análisis y gestión de riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información, así como con los sistemas y procesos usados para ello, que permite llegar a una situación de riesgo conocida y controlada.

Acuerdo por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones

1. Definiciones y Términos:

Seguridad de la información: La capacidad de preservación de la confidencialidad, integridad y disponibilidad de la información.

Vulnerabilidad: La debilidad en la seguridad de la información dentro de una organización que potencialmente permite que una amenaza afecte a un activo de TIC.

SGSI: Sistema de Gestión de Seguridad de la Información, parte de un sistema global de gestión que basado en el análisis de riesgos, establece, implementa, opera, monitorea, revisa, mantiene y mejora la seguridad de la información.

5.9.4 Administración de la seguridad de los sistemas informáticos

5.9.4.1 Objetivos del proceso

General: Establecer los mecanismos que permitan la administración de la seguridad de la información de la Institución contenida en medios electrónicos y sistemas informáticos.

Específicos: Establecer un Sistema de Gestión de Seguridad de la Información (SGSI) que proteja la información de la

Institución contenida en medios electrónicos y sistema informáticos, contra accesos y usos no autorizados, con la finalidad de conservar su confidencialidad, integridad y disponibilidad.

Ley Federal de transparencia y acceso a la información pública gubernamental

Capítulo III – Información reservada y confidencial

Artículo 13. Como información reservada podrá clasificarse aquélla cuya difusión pueda:

I. Comprometer la seguridad nacional, la seguridad pública o la defensa nacional;

II. Menoscabar la conducción de las negociaciones o bien, de las relaciones internacionales, incluida aquella información que otros estados u organismos internacionales entreguen con carácter de confidencial al Estado Mexicano;

III. Dañar la estabilidad financiera, económica o monetaria del país;

IV. Poner en riesgo la vida, la seguridad o la salud de cualquier persona, o

V. Causar un serio perjuicio a las actividades de verificación del cumplimiento de las leyes, prevención o persecución de los delitos, la impartición de la justicia, la recaudación de las contribuciones, las operaciones de control migratorio, las estrategias procesales en procesos judiciales o administrativos mientras las resoluciones no causen estado.

Artículo 14. También se considerará como información reservada:

I. La que por disposición expresa de una Ley sea considerada confidencial, reservada, comercial

reservada o gubernamental confidencial;

II. Los secretos comercial, industrial, fiscal, bancario, fiduciario u otro considerado como tal por una disposición legal;

III. Las averiguaciones previas;

IV. Los expedientes judiciales o de los procedimientos administrativos seguidos en forma de juicio en tanto no hayan causado estado;

V. Los procedimientos de responsabilidad de los servidores públicos, en tanto no se haya dictado la resolución administrativa o la jurisdiccional definitiva, o

VI. La que contenga las opiniones, recomendaciones o puntos de vista que formen parte del proceso deliberativo de los servidores públicos, hasta en tanto no sea adoptada la decisión definitiva, la cual deberá estar documentada.

Cuando concluya el periodo de reserva o las causas que hayan dado origen a la reserva de la información a que se refieren las fracciones III y IV de este Artículo, dicha información podrá ser pública, protegiendo la información confidencial que en ella se contenga.

No podrá invocarse el carácter de reservado cuando se trate de la investigación de violaciones graves de derechos fundamentales o delitos de lesa humanidad.

Artículo 15. La información clasificada como reservada según los artículos 13 y 14, podrá permanecer con tal carácter hasta por un periodo de doce años. Esta información podrá ser desclasificada cuando se extingan las causas que dieron origen a su clasificación o cuando haya transcurrido el periodo de reserva. La disponibilidad de esa información será sin perjuicio de lo que, al respecto, establezcan otras leyes.

Artículo 18. Como información confidencial se considerará:

I. La entregada con tal carácter por los particulares a los sujetos obligados, de conformidad con lo establecido en el Artículo 19, y

II. Los datos personales que requieran el consentimiento de los individuos para su difusión, distribución o comercialización en los términos de esta Ley.

No se considerará confidencial la información que se halle en los registros públicos o en fuentes de acceso público.

Artículo 19. Cuando los particulares entreguen a los sujetos obligados la información a que se refiere la fracción I del artículo anterior, deberán señalar los documentos que contengan información confidencial, reservada o comercial reservada, siempre que tengan el derecho de reservarse la información, de conformidad con las disposiciones aplicables. En el caso de que exista una solicitud de acceso que incluya información confidencial, los sujetos obligados la comunicarán siempre y cuando medie el consentimiento expreso del particular titular de la información confidencial.

Ley de Protección y Defensa al Usuario de Servicios Financieros

Artículo 8.- La Comisión Nacional establecerá y mantendrá actualizado, un Registro de Usuarios que no deseen que su información sea utilizada para fines mercadotécnicos o publicitarios.

Queda prohibido a las Instituciones Financieras utilizar información relativa a la base de datos de sus clientes con fines mercadotécnicos o publicitarios, así como enviar publicidad a los clientes que expresamente les hubieren manifestado su voluntad de no recibirla o que estén inscritos en el registro a que se refiere el párrafo anterior. Las Instituciones Financieras que sean objeto de publicidad son corresponsables del manejo de la información de sus Clientes cuando dicha publicidad la envíen a través de terceros.

Los usuarios se podrán inscribir gratuitamente en el Registro Público de Usuarios, a través de los medios que establezca la Comisión Nacional, la cual será consultada por las Instituciones Financieras.

Circular Única Bancaria de la CNBV (Disposiciones de Carácter General Aplicables a las Instituciones de Crédito)

Sección Cuarta.- De la seguridad, confidencialidad e integridad de la información

transmitida, almacenada o procesada a través de Medios Electrónicos

Artículo 316 Bis 10.-  Las Instituciones que utilicen Medios Electrónicos para la  celebración de operaciones y prestación de servicios, deberán implementar medidas  o mecanismos de seguridad en la transmisión, almacenamiento y procesamiento de la información a través de dichos Medios Electrónicos, a fin de evitar que sea conocida por terceros. Para tales efectos, las Instituciones deberán cumplir con lo siguiente:

I. Cifrar los mensajes o utilizar medios de comunicación Cifrada, en la transmisión de la Información Sensible del Usuario procesada a través de Medios Electrónicos, desde el Dispositivo de Acceso hasta la recepción para su ejecución por parte de las Instituciones, a fin de proteger la información a que se refiere el Artículo 117 de la

Ley, incluyendo la relativa a la identificación y Autenticación de Usuarios tales como Contraseñas, Números de Identificación Personal (NIP), cualquier otro Factor de Autenticación, así como la información de las respuestas a las preguntas secretas a que se refiere el penúltimo párrafo del Artículo 316 Bis 3 de estas disposiciones.

Para efectos de lo anterior, las Instituciones deberán utilizar tecnologías que manejen Cifrado y que requieran el uso de llaves criptográficas para asegurar que terceros no puedan conocer los datos transmitidos.

Las Instituciones serán responsables de la administración de las llaves criptográficas, así como de cualquier otro componente utilizado para el Cifrado, considerando procedimientos que aseguren su integridad y confidencialidad, protegiendo la información de Autenticación de sus Usuarios.

Tratándose de Pago Móvil, Banca Telefónica Voz a Voz y Banca Telefónica Audio Respuesta, podrán implementar controles compensatorios al Cifrado en la transmisión de información a fin de protegerla.

II. Las Instituciones deberán Cifrar o truncar la información de las cuentas u operaciones de sus Usuarios y Cifrar las Contraseñas, Números de Identificación Personal (NIP), respuestas secretas, o cualquier otro Factor de Autenticación, en caso de que se almacene en cualquier componente de los Medios Electrónicos.

III. En ningún caso, las Instituciones podrán transmitir las Contraseñas y Números de Identificación Personal (NIP), a través de correo electrónico, servicios de mensajería instantánea, Mensajes de Texto SMS o cualquier otra tecnología, que no cuente con mecanismos de Cifrado.

Se exceptúa de lo previsto en esta fracción a las Contraseñas y Números de Identificación Personal (NIP) utilizados para acceder al servicio de Pago Móvil, siempre y cuando las Instituciones mantengan controles para que no se pongan en riesgo los recursos y la información de sus Usuarios. Las Instituciones que pretendan

utilizar los controles a que se refiere el presente párrafo deberán obtener la previa autorización de la Comisión, para tales efectos.

Asimismo, la información de los Factores de Autenticación Categoría 2 a que se refiere el Artículo 310 de las presentes disposiciones, utilizados para acceder a  la información de los estados de cuenta, podrá ser comunicada al Usuario mediante dispositivos de audio respuesta automática, así como por correo, siempre y cuando esta sea enviada utilizando mecanismos de seguridad, previa solicitud del Usuario y se hayan llevado a cabo los procesos de Autenticación correspondientes.

IV. Las Instituciones deberán asegurarse de que las llaves criptográficas y el proceso de Cifrado y descifrado se encuentren instalados en dispositivos de alta seguridad, tales como los denominados HSM (Hardware Security Module), los cuales deberán contar con prácticas de administración que eviten el acceso no autorizado y la divulgación de la información que contienen.

Artículo 316 Bis 11.- Las Instituciones deberán contar con controles para el acceso a las bases de datos y archivos correspondientes a las operaciones y servicios  efectuados a través de Medios Electrónicos, aún cuando dichas bases de datos y archivos residan en medios de almacenamiento de respaldo. Para efectos de lo anterior, las Instituciones deberán ajustarse a lo siguiente:

I. El acceso a las bases de datos y archivos estará permitido exclusivamente a las personas expresamente autorizadas por la Institución en función de las actividades que realizan. Al otorgarse dichos accesos, deberá dejarse constancia de tal circunstancia y señalar los propósitos y el periodo al que se limitan los accesos.

II. Tratándose de accesos que se realicen en forma remota, deberán utilizarse mecanismos de Cifrado en las comunicaciones.

III. Deberán contar con procedimientos seguros de destrucción de los medios de almacenamiento de las bases de datos y archivos que contengan Información Sensible de sus Usuarios, que prevengan su restauración a través de cualquier mecanismo o dispositivo.

IV. Deberán desarrollar políticas relacionadas con el uso y almacenamiento de información que se transmita y reciba por los Medios Electrónicos, estando obligadas a verificar el cumplimiento de sus políticas por parte de sus proveedores y afiliados.

La obtención de información almacenada en las bases de datos y archivos a que se refiere el presente artículo, sin contar con la autorización correspondiente, o el uso indebido de dicha información, será sancionada en términos de lo previsto en la Ley, inclusive tratándose de terceros contratados al amparo de lo establecido en el Artículo 46 Bis 1 de dicho ordenamiento legal.

Artículo 316 Bis 12.- En caso de que la Información Sensible del Usuario sea extraída, extraviada o las Instituciones supongan o sospechen de algún incidente que involucre accesos no autorizados a dicha información, deberán:

I. Enviar por escrito a la Dirección General de la Comisión encargada de su supervisión, dentro de los cinco días naturales siguientes al evento de que se trate, la información que se contiene en el Anexo 64 de las presentes disposiciones.

II. Llevar a cabo una investigación inmediata para determinar si la información ha sido o puede ser mal utilizada, y en este caso deberán notificar esta situación, en los siguientes 3 días hábiles, a sus Usuarios afectados a fin de prevenirlos de los riesgos derivados del mal uso de la  información que haya sido extraída, extraviada o comprometida, debiendo informarle las medidas que deberán tomar. Asimismo, deberán enviar a la Dirección General de la Comisión encargada de su supervisión, el resultado de dicha investigación en un plazo no mayor a cinco días naturales posteriores a su conclusión.

Y si a estas leyes y regulaciones agregamos el conjunto de Normas ISO que tratan sobre temas de seguridad informática, la lista de “obligaciones, recomendaciones y requisitos” crece considerablemente:

  • ISO/IEC 27000: Fundamentos y vocabulario.
  • ISO/IEC 27001: Norma que especifica los requisitos para la implantación del Sistema de Gestión de Seguridad de la Información (SGSI).
  • ISO/IEC 27002: Código de buenas prácticas para la gestión de Seguridad de la Información.
  • ISO/IEC 27003: Directrices para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI).
  • ISO/IEC 27004: Métricas para la gestión de Seguridad de la Información.
  • ISO/IEC 27005: Gestión de riesgos de la Seguridad de la Información.
  • ISO/IEC 27006: Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la Seguridad de la Información.

Si usted es ingeniero o especialista en sistemas, tiene muchas leyes que aprender. Si usted es abogado, tiene muchas normas ISO que aprender. ¿No es este el pretexto perfecto para crear o formalizar una materia o rama jurídica que lleve por nombre “Derecho de la Seguridad de la Información”?

La seguridad y confidencialidad de la información

seguridad_3

Por Joel Gómez Treviño

Nos guste o no, tenemos que reconocer que nuestra información está en todas partes. Los datos personales de nuestros clientes, proveedores, amigos y familia se andan paseando en emails, teléfonos inteligentes, tabletas electrónicas, laptops, tarjetas de memoria, usb drives y hasta en “la nube”; datos financieros y patrimoniales de empleados y clientes sufren la misma suerte, incluyendo hojas olvidadas en impresoras “públicas” por horas y la impresión en papel “reciclado”; nuestros nombres, teléfonos y direcciones desfilan por incontables mesas de recepción de restaurantes y ventanillas bancarias; y obviamente todo lo que hacemos en tanto en internet, como en nuestras computadoras y teléfonos, deja un rastro digital.

Independientemente de que los “convenios o contratos de confidencialidad” (NDA’s por sus siglas en inglés) no solo existen, sino son ampliamente conocidos por la comunidad de negocios, estos no son la única fuente, ni la más importante, de obligaciones de confidencialidad y seguridad de la información. De hecho, el único objetivo de un NDA es y debe ser la confidencialidad de la información; este instrumento no debe usarse como medio para buscar la “seguridad de la información” ni para satisfacer requisitos de otras leyes, como la de protección de datos personales.

La seguridad y confidencialidad de la información son dos cosas distintas; de hecho desde una perspectiva práctica podríamos considerar a la seguridad como el género y a la confidencialidad como la especie. La madre de todas las tareas universitarias (Wikipedia) define a “Seguridad de la Información” como: todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

Por otro lado, la confidencialidad de la información en su sentido positivo (punto de vista técnico) significa que “el acceso a la información únicamente se realice por personas que cuenten con la debida autorización”. En su sentido negativo (punto de vista legal), confidencialidad de la información significa que la misma no debe divulgarse o compartirse con terceros, sin autorización expresa de las partes involucradas.

Muchas leyes nos obligan a mantener la confidencialidad y/o seguridad de la información:

  • Si eres profesionista, la Ley General de Profesiones te obliga a guardar estrictamente el secreto de los asuntos que tus clientes te confíen;
  • Si eres empleado, la Ley Federal del Trabajo te obliga a guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurras directa o indirectamente, o de los cuales tengas conocimiento por razón del trabajo que desempeñas, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa;
  • A toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, la Ley de la Propiedad Industrial lo obliga a abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.
  • Si eres una persona física o moral y contratas a un trabajador que esté laborando o haya laborado, o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, la Ley de la Propiedad Industrial establece que serás responsable del pago de daños y perjuicios que le ocasione a dicha persona (física o moral).
  • Si tienes una página web (incluyendo sitios móviles) en donde se realizan transacciones comerciales electrónicas, la Ley Federal de Protección al Consumidor te obliga a:

Utilizar la información proporcionada por el consumidor en forma confidencial, por lo que no podrás difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;

Utilizar alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informarás a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos.

  • Si eres persona física o moral y tienes una base de datos o das tratamiento a  datos personales, tanto en el plano físico como electrónico, la Ley Federal de Protección de Datos Personales en Posesión de Particulares te obliga a establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
  • La misma ley establece que:

Si eres responsable o tercero que interviene en cualquier fase del tratamiento de datos personales, deberás guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

Si los datos personales son vulnerados (si se te pierden, si hay un acceso no autorizado, si te hackean), deberás informar de forma inmediata a los titulares de los datos, a fin de que ellos puedan tomar las medidas correspondientes a la defensa de sus derechos.

Espero que ahora nos quede claro una idea muy simple: ¡la seguridad y confidencialidad de la información es obligación de todos! No importa si tienes o no firmado un contrato o cláusula de confidencialidad, la ley te obliga en la mayoría de los casos a proteger la confidencialidad, disponibilidad e integridad de la información.

Grabación de intervenciones e imágenes en Asambleas

asamblea

Por Daniel A. López Carballo

En relación a la grabación con medios audiovisuales de asambleas de organismos, asociaciones, … cabe indicar que los artículos 1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal aplican la protección a los derechos de los ciudadanos sobre el tratamiento de sus datos, entendidos estos como cualquier información concerniente a personas físicas identificadas o identificables. A mayor abundamiento el artículo 5.1 del Real Decreto 1720/2007, define dato de carácter personal, como cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

En relación a la grabación de las reuniones o asambleas, se debe tener en cuenta la Sentencia 292/2000 del Tribunal Constitucional, en la que se establece el derecho a la protección de datos como un derecho autónomo, diferenciado del derecho a la intimidad “el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta  a la persona para decidir cuáles de esos datos proporcionar a un tercero, cuáles puede este tercero recabar, permitiendo a la persona conocer quien posé dichos datos, su finalidad y utilización, pudiendo oponerse a su posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como sus usos posibles (…) ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los esta sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos”.

El artículo 4.1 de la citada Ley Orgánica, recoge el principio de proporcionalidad en el tratamiento de los datos, “sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”, en el mismo sentido cabe citar la Sentencia del Alto Tribunal 207/1996.

En este sentido se debe atender a la proporcionalidad de la grabación de dichas imágenes y más concretamente a la finalidad de la recogida de las mismas, la sustitución de de las acatas de la asamblea o facilitar la transcripción de las mismas.

En todo caso, se deberán cumplir las obligaciones recogidas en la Ley Orgánica 15/1999 y su Reglamento de desarrollo, por el Responsable del Fichero: inscripción del correspondiente Fichero ante la Agencia Española de Protección de Datos, y las referidas a la obtención del consentimiento del interesado para el tratamiento o cesión de los datos, así como informar a los asistentes sobre los derechos que les asisten, así como la identidad y dirección del Responsable y el uso que se le vana  dar a los citados datos.

El artículo 6.1 de la Ley Orgánica recoge el consentimiento de las personas sobre el tratamiento de sus datos, debiendo ser inequívoco, libre, específico e informado, vinculado a las finalidades determinadas, espcificas y legitimas que justifican el tratamiento de los mismos. El mismo artículo prevé una serie de excepciones a la necesidad del consentimiento, en el caso analizado dicho tratamiento deberá constar en los Estatutos de la corporación ya que, debiendo el asociado, conocerlo y aceptarlo.

Puede entenderse que dicho consentimiento para el tratamiento de la información viene recogido en el momento de asociarse, cuando la persona consiente en el tratamiento de sus datos dentro de los fines de la organización, debiendo tenerse en cuenta que entre los derechos de los miembros está formar parte de las Asambleas Generales, como máximo órgano de representación de los asociados. En todo caso, se deberá informar, mediante la lectura del correspondiente aviso legal en materia de protección de datos, así como la exposición del mismo o su inclusión en la documentación que se les entregue a los asistentes. Debiendo garantizarse el ejercicio de los derechos de las personas con respecto a sus datos en relación con la finalidad del tratamiento de los datos y la necesidad de los mismos para el correcto funcionamiento de la Asamblea, la adopción de medidas o acuerdos, aprobación de puntos del orden del día o inclusión de intervenciones en el acta de la misma; siendo fundamental la correcta identificación de la persona interviniente.

Así mismo, se deberá cumplir con las obligaciones societarias, colegiales y demás legalmente establecidas para la validez jurídica de las actas y de los acuerdos adoptados, sobre el periodo de  conservación de las mismas y, en relación a las medidas de seguridad aplicables, conforme al nivel de seguridad aplicable, las recogidas en el Reglamento de desarrollo de la citada Ley Orgánica.

Grabación y difusión de imágenes de policías

policia

Por Javier Villegas Flores

Ignacio Cosidó, Director General de la Policía, ha anunciado que la próxima Ley de Seguridad Ciudadana, que reformará la vigente Ley Orgánica 1/1992, de 21 de febrero, sobre Protección de la Seguridad Ciudadana, prohibirá la “grabación y la difusión de imágenes de miembros de las fuerzas de seguridad en servicio, cuando su actuación pueda suponer un peligro para los agentes o un riesgo para operaciones en curso”. Según fuentes consultadas por los distintos medios, se hace referencia en particular a las “imágenes cuya distribución se haga a través de Internet y que puedan poner en peligro actuaciones policiales o la integridad de los agentes”, en concreto “cuando se les identifica, señala y se incita a acciones contra ellos”. El motivo de la anunciada medida es, según Cosidó, “buscar un equilibrio en la protección de las fuerzas de seguridad y los derechos de los ciudadanos, proteger el derecho a la intimidad de los agentes y el derecho a su honor e imagen”, para conseguir así “dotar de más seguridad el trabajo de la policía”.

En este punto conviene recordar cuál es la regulación actual en nuestro ordenamiento jurídico, y las consecuencias que pudieran derivarse en caso de llevarse a efecto la reforma propuesta en los términos anunciados. Tomaremos como referencia la normativa básica señalada a continuación:

  • Constitución Española
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter PersonalReglamento
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal
  • Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen
  • Ley Orgánica 1/1992, de 21 de febrero, sobre Protección de la Seguridad Ciudadana.

La Constitución Española consagra como Derechos y Libertades Fundamentales el derecho a la libertad de información, el derecho al honor y a la intimidad personal y familiar, y lo que se ha venido a denominar el derecho a la protección de datos personales:

Artículo 18

1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

4. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. (Protección de datos personales)

Artículo 20

1. Se reconocen y protegen los derechos:

d. A comunicar o recibir libremente información veraz por cualquier medio de difusión. La Ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de estas libertades. (Libertad de información)

4. Estas libertades tienen su límite en el respeto a los derechos reconocidos en este Título, en los preceptos de las Leyes que lo desarrollan y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia”

A priori nos enfrentamos ante un conflito de derechos que deben ser ponderados, esto es, el derecho a la intimidad, honor y privacidad del policía, frente a la libertad de información o las meras libertades y derechos básicos de manifestantes o ciudadanos.

Protección de datos personales

En primer lugar, y a fin de delimitar claramente el punto de partida de nuestro análisis, hemos de aclarar que la fotografía o fotograma del funcionario en cuestión, siempre que lo identifique o lo haga susceptible de identificación , es un dato personal, según el art. 5.1.f) del Real Decreto 1720/2007:

“Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”

Sin embargo, la Directiva 95/46/CE (Directiva “Protección de Datos”), en su artículo 9 señala que:

“En lo referente al tratamiento de datos personales con fines exclusivamente periodísticos o de expresión artística o literaria, los Estados miembros establecerán (…) exenciones y excepciones sólo en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión”

Y en trasposición de la Directiva, el Real Decreto 1720/2007, en el artículo 2.2 excluye de su ámbito de aplicación “los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”

En definitiva, y como pondrá de manifiesto también la legislación y jurisprudencia sobre el derecho al honor y a la intimidad, las imágenes referidas a funcionarios públicos en un lugar público y en el ejercicio de sus funciones no se considerarán datos personales , y por tanto su grabación, retratado o posterior difusión no se entenderá como un tratamiento o cesión de datos ilegítima.

Derecho al honor, intimidad personal y familiar y propia imagen

Si bien parecen claro que la toma de imágenes de policías en manifestaciones no supondrá una violación del derecho fundamental a la protección de datos personales, hay que analizar si puede resultar lesionado el derecho al honor, intimidad personal y familiar y propia imagen del agente.

La Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, establece en su artículo 7 los supuestos que constituyen una intromisión ilegítima en el derecho a la propia imagen, entre los que incluye:

“La captación, reproducción o publicación por fotografía, filme o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos, salvo los casos previstos en el artículo 8.2”

El artículo 8.2 efectivamente indica que el derecho a la propia imagen no impedirá:

“Su captación, reproducción o publicación por cualquier medio cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público”

La jurisprudencia ha delimitado el alcance del derecho a la intimidad para las personas que ejercen cargos o funciones públicas, o que se encuentran en el desempeño de las mismas:

Sentencia 85/2003 TC Derecho a la intimidad, honor y actividad pública

“ (…) El art. 18.1 CE tiene por objeto garantizar al individuo un ámbito reservado de su vida, vinculado con el respeto de su dignidad como persona (art. 10.1 CE), frente a la acción y el conocimiento de los demás, sean éstos poderes públicos o simples particulares. De suerte que el derecho a la intimidad atribuye a su titular el poder de resguardar ese ámbito reservado, no sólo personal sino también familiar, frente a la divulgación del mismo por terceros y una publicidad no querida.

Lo que el art. 18.1 CE garaniza es, pues, el secreto sobre nuestra propia esfera de vida personal y, por tanto, veda que sean los terceros, particulares o poderes públicos, quienes decidan cuáles son los contornos de nuestra vida privada (por todas, STC 83/2002, de 22 de abril, FJ 5). Ahora bien, las informaciones protegidas frente a una publicidad no querida corresponden únicamente a los aspectos más básicos de la autodeterminación personal (STC 143/1994, de 9 de mayo, FJ 6), extendiéndose la tutela del derecho a la reserva que en el marco social le es razonable exigir en atención a los criterios sociales dominantes (STC 99/1994, 11 de abril, FJ 7) (…) ”

Podemos deducir por tanto que en el supuesto objeto de estudio el derecho fundamental al honor e intimidad del policía cede ante el derecho fundamental de información. Sin embargo, la libertad de información, si bien se impone sobre el derecho al honor, también está limitado por este mismo derecho, como afirma expresamente la Carta Magna en el artículo 18.4 e interpreta reiteradamente el Tribunal Constitucional. Estos requisitos se refuerzan y adquieren mayor intensidad si cabe cuando la información comporta la transmisión de noticias que puedan desacreditar al funcionario. En resumen, y según el TC, para que el derecho a la información prevalezca sobre el derecho al honor e intmidad personal y propia imagen, se exige:

  • Que la información objeto de publicación sea verdadera.
  • Que resulte de relevancia pública
  • Que la inclusión de datos de carácter personal (la fotografía o fotograma) sea necesaria para la correcta comprensión del alcance de la noticia.

Por último, la vigente Ley Orgánica 1/1992, de 21 de febrero, sobre Protección de la Seguridad Ciudadana, cuya reforma anunciada es objeto de nuestro análisis, en su artículo 19 indica que:

“Los agentes de las Fuerzas y Cuerpos de Seguridad (…) podrán ocupar preventivamente los efectos o instrumentos susceptibles de ser utilizados para acciones ilegales, dándoles el destino que legalmente proceda”

En el caso de que no existan indicios de que puedan ser utilizadas para la comisión de actos delictivos o que pongan en peligro la seguridad de los funcionarios policiales o de sus instalaciones, si el agente considera que no existe justificación para la toma de esas imágenes, se tomará la filiación completa de la persona y se le informará de que en caso de que se utilizaran para los fines delictivos antes señalados se pondrá en conocimiento de la autoridad judicial competente.

En conclusión, y así se desprende de la interpretación jurisprudencial que se ha dado a los mencionados preceptos, la grabación y toma de fotografías de los miembros de las Fuerzas y Cuerpos de Seguridad en manifestaciones en ejercicio de sus funciones es legal siempre que:

  • No se ponga en peligro la seguridad del funcionario (por ejemplo, la toma y difusión de la imagen de un guardia civil o ertxaintxa en el País Vasco), o no existan indicios de que puedan ser utilizadas para la comisión de actos delictivos.
  • No afecte al derecho a la intimidad, propia imagen y al honor del mismo.
  • La información objeto de publicación sea verdadera, resulte de relevancia pública y la inclusión de datos de carácter personal (la fotografía o fotograma) sea necesaria para la correcta comprensión del alcance de la noticia (requisito solo aplicable a los medios de comunicación).

Por tanto, a pesar de la alarma que ha suscitado el anuncio de reforma de la Ley Orgánica 1/1992, de 21 de febrero, sobre Protección de la Seguridad Ciudadana, en lo referente a las grabaciones y tomas de imágenes de policías, no se deduce un cambio sustancial con respecto a la regulación actual, más allá de adaptar el articulado a la nueva “sociedad de la información”, y a los riesgos que conlleva la misma tanto para la seguridad e integridad de los agentes, como para la imagen y proyección pública de los Cuerpos y Fuerzas de Seguridad. Y esto es así porque según se anuncia, siempre quedará a la discrecionalidad de los agentes la prohibición o no de la grabación y toma de imágenes, que es lo mismo que sucede actualmente.

Sin embargo, habrá que esperar a ver el texto del proyecto para poder extraer conclusiones definitivas, ya que todo apunta a que se ampliarán los supuestos ante los cuales impedir las grabaciones y fotos de agentes, ya que la reforma de la Ley, en otros aspectos que también han trascendido, va por la senda de dotar de más instrumentos de protección a los funcionarios policiales, ampliando el abanico y la gravedad de los tipos infractores, y siendo mucho más restrictiva para los derechos de los manifestantes.

Tabletas digitalizadoras y protección de datos

tableta_2

Por Daniel A. López Carballo

La recogida de la firma de un usuario en una tableta digitalizadora, es una práctica cada vez más común hoy en día. Mediante este sistema queda guardada de forma digitalizada la firma del usuario, en lugar de tener que escanear posteriormente el documento en formato papel o archivarlo directamente en este formato.

Para las empresas que utilizan esta tecnología las ventajas son claras, la eliminación de la copia en papel se ha traducido en un ahorro de costes substancial. Al mismo tiempo, los procesos son más eficientes, ágiles y seguros, así como el compromiso con el medio ambiente y la reducción de gasto de papel.

Sobre su legalidad, en base al cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personalidad, se debe atender a dos claros principios: finalidad del uso del dato recabado y el deber de información.

El artículo 3.a) de la citada Ley Orgánica define datos de carácter personal como “cualquier información concerniente a personas físicas identificadas o identificables”, es decir toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.

En línea con lo anterior el artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/95, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, considera identificable “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.”

En primer cabe hacer referencia al artículo 5 de la citada Ley Orgánica, haciendo mención al derecho de información en la recogida de los datos:

“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

  1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. (…)”

Por tanto, de forma previa a la inclusión de la firma, se debería dar cumplimiento al citado precepto, mediante una cláusula o aviso legal donde se indique dicha información, previa a la inclusión de la firma (dato de carácter personal) y al tratamiento de la misma.

En este sentido, la Resolución R/00098/2006 de la Agencia de Protección de Datos (en el Procedimiento Nº PS/00241/2005), recoge la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos, al declarar que: “el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele”

A mayor abundamiento, debe quedar clara la finalidad y el uso exclusivo del dato recabado para la misma, asociándose a un único documento, ateniéndose a lo estipulado en el artículo 6.1 de la Ley Orgánica 15/1999 “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa”, así como del procedimiento establecido para el ejercicio de los derecho de acceso, rectificación, cancelación y oposición, la titularidad del fichero, entidades cedentes o encargados del tratamiento de los mismos, … obteniendo el consentimiento expreso e inequívoco del usuario a dicho tratamiento.

Debe tenerse en cuenta las medidas de seguridad que aportan la propia tableta digitalizadora, así como el software utilizado, que deberá cumplir con las medidas recogidas en la Ley Orgánica 15/1999 de protección de datos de carácter personal y en su reglamento de desarrollo.

Se debe diferenciar dentro del tipo de tecnología utilizada la tabletas que sólo captan la imagen de la firma y aquellas otras mediante las cuales se obtienen datos biométricos, tales como la presión, velocidad coordenadas de la firma, … permitiéndose una correcta identificación de la persona firmante del documento. La comunicación de estos datos debería realizarse de forma encriptada al equipo informático donde van a ser almacenados, salvaguardando los niveles de acceso o la utilización por una persona sin perfil autorizado para ello. Cabe recordar que una firma digitalizada no es una firma digital.

Sólo mediante una correcta aplicación de las medias de seguridad, tales como la vinculación a un único documento PDF, protegido mediante una firma digital, el cifrado de la información o la utilización de certificados pueden evitar una mala utilización o manipulación de los datos recabados, así como una correcta definición de la tableta, la calibración de la misma y el trazo de elemento usado para la firma, que permitan una correcta realización de la firma por el usuario, de forma clara y nítida, permitiéndose la identificación de la misma, evitando posibles casos de suplantación de la identidad.

Por último, en al recogida de los datos y su asociación a un determinado documento, como podría ser el consentimiento para el tratamiento de datos de carácter personal, un determinado contrato, el pago de un servicio o una transacción bancaria; se hace especialmente necesario, el obligado derecho de información, así como la forma en que se puede ejercitar el ejercicio de los derechos reconocidos en la Ley Orgánica 15/1999.

Deberá hacerse constar en el documento de seguridad del Responsable del Fichero el procedimiento implementado, así como, a mi entender, independientemente del nivel de seguridad de los datos recabados o a los que va asociados (datos de salud, consentimientos informados, …), el registro de las personas que acceden a dicha información (personal interno o encargados de tratamiento), así como la correcta asociación al documento referido, evitando así, posteriores perjuicios al usuario final, o incidencias que pudieran producirse. Recordar que se deberá en todo caso atender a la finalidad de la recogida de los datos, las posibles cesiones o comunicaciones de datos, así como a la legislación específica aplicable, en el presente artículo sólo se tratan aspectos generales relacionados con la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal.

Almacenamiento de datos y códigos QR

Bidi

Por Daniel A. López Carballo

Los denominados códigos QR se encuentrán cada vez más presentes en el medio en que nos relacionamos: un anuncio, un billete de tren, en la clasificación de productos, … Un código QR (quick response, código de respuesta rápida) es un sistema de codificación de información bidimensional (código de barras en dos dimensiones, patrón de arriba a abajo y izquierda a derecha),r hasta pudiendo contene 7.000 caracteres numéricos, una imagen o archivo de hasta 3KB.

Las utilidades son múltiples, ya que, a un coste casi inexistente para las empresas, podemos dar información a los usuarios, que sólo precisarán de una aplicación en sus teléfonos móviles para acceder a la misma: información al consumidor sobre productos, ofertas, concursos, distribución de juegos, demos o descarga de música y vídeos. Presentación de catálogos o envío de una tarjeta de visita con información de contacto. Información sobre un determinado monumento o punto turístico, o conectarnos con una determinada red social (habilitar el clásico “me gusta de Facebook, o llevar al usuario a nuestro perfil en LinkedIn), son algunos de los innumerables usos que esta tecnológica permite

Pero al igual que mediante los códigos QR podemos recibir información comercial o de interés, promociones, … también está al alcance los usuarios, mediante aplicaciones gratuitas que se encuentran en la red, la posibilidad de crear su propios códigos, con las información de carácter personal que se desee, pongamos por ejemplo que en lugar de tener una fotografía de perfil en una red social, condensamos toda la información personal en una única imagen. La acreditación para un determinado Congreso científico o la información que como viajeros fuera necesaria para tomar un determinado vuelo (nombre y apellidos, dirección, teléfono, y porque no grupo sanguíneo, alergias o cuidados especiales en caso de accidente).

Esta forma de almacenamiento y tratamiento de la información, hace que mediante la utilización de herramientas al alcance de cualquiera, nuestros datos de carácter personal se encuentren al alcance de cualquiera, haciéndonos, tal y como recoge la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, identificables. Más aún si unimos esta tecnología a los sistemas de geolocalización.

Datos meramente identificativos, que se pueden combinar con datos especialmente protegidos (utilización de códigos QR en recetas médicas o para resumir un determinado historial clínico, por ejemplo), que constituyen un nuevo soporte y tecnología, y que deberían garantizar la confidencialidad y medidas de seguridad recogidas en nuestra legislación.

La evolución de la formas en que nos relacionamos y compartimos la información, hacen que el derecho deba evolucionar, tecnologías como la tratada, se encuentran desarrolladas en un porcentaje muy pequeño de lo que llegarán a abarcar y la regulación en materia de protección de datos debe establecer un escenario de seguridad jurídica, tal y como ocurriera en su momento mediante la inclusión de imágenes y el tratamiento de datos de videovigilancia.

La revisión del consentimiento, así como las cláusulas legales que determinan el deber de información, la problemática de delimitar posibles terceros que pudieran acceder a la información, así como la utilización que de la misma se puede hacer, son algunas de las lagunas jurídicas que esta tecnología, a mi entender, generan.

Acceso y tratamiento de datos de personas fallecidas

Por Daniel A. López Carballo

En relación al acceso a la información de personas fallecidas, tal y como indica el Informe de la Agencia Española de Protección de Datos 0523/2010, la protección conferida la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal, no se extiende a los datos de personas fallecidas. En este sentido, el artículo 2,4 del Real Decreto 1720/2007 establece que “(…) no será de aplicación a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.”

La propia Agencia Española de Protección de Datos en su informe de fecha 23 de mayo de 2008, en relación al acceso a datos recogidos en ficheros de titularidad publica, afirmaba que “(…) la consulta de dichos datos supondría una cesión de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999, como toda revelación de datos realizada a una persona distinta del interesado. Con carácter general, la cesión o comunicación de datos de carácter personal viene regulada en el artículo 11.1 de la Ley Orgánica al establecer que los datos de carácter personal objeto del tratamiento solo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legitimas del cedente y del cesionario, con el previo consentimiento del interesado.

El consentimiento deberá ser otorgado con carácter previo a la cesión y suficientemente informado de la finalidad a la que se destinen los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretende comunicar (artículo 11.3) y que debe ser recabado por el cedente como responsable del fichero, que contiene los citados datos. La obligación de consentimiento sólo se vería exceptuada en los supuestos enumerados en el artículo 11.2, cuyo apartado a) se refiere al caso en que exista una norma con rango de Ley habilitante de la cesión. Habrá que tener en cuenta lo dispuesto en el artículo 9 del Real Decreto 1720/2007 referente al tratamiento de datos con fines estadísticos, históricos o científicos “1. No se considerará incompatible, a los efectos previstos en el apartado 3 del artículo anterior, el tratamiento de los datos de carácter personal con fines históricos, estadísticos o científicos. Para la determinación de los fines a los que se refiere el párrafo anterior se estará a la legislación que en cada caso resulte aplicable y, en particular, a lo dispuesto en la Ley 12/1989, de 9 de mayo, Reguladora de la función estadística pública, la Ley 16/1985, de 25 junio, del Patrimonio histórico español y la Ley 13/1986, de 14 de abril de Fomento y coordinación general de la investigación científica y técnica, y sus respectivas disposiciones de desarrollo, así como a la normativa autonómica en estas materias. 2. Por vía de excepción a lo dispuesto en el apartado 6 del artículo anterior, la Agencia Española de Protección de Datos o, en su caso, las autoridades de control de las comunidades autónomas podrán, previa solicitud del responsable del tratamiento y conforme al procedimiento establecido en la sección segunda del capítulo VII del título IX del presente reglamento, acordar el mantenimiento íntegro de determinados datos, atendidos sus valores históricos, estadísticos o científicos de acuerdo con las normas a las que se refiere el apartado anterior.”

En este sentido el artículo 49.2 de la Ley 16/1985, de 25 de junio, reguladora del Patrimonio Histórico Español, establece que forman parte del patrimonio documental los documentos de cualquier época generados, conservados o reunidos, en el ejercicio de su función por cualquier organismo o entidad de carácter publico, por las personas jurídicas en cuyo capital participe mayoritariamente la administración u otra entidades publicas y por las personas privadas (físicas o jurídicas), gestoras de servicios públicos en lo relacionado con la gestión de los mismos.

A su vez el artículo 57,1 de la citada Ley, señala que la consulta de los documentos constitutivos del patrimonio documental español, a que se refiere el artículo anteriormente citado, se atendrá a las policial, procesal, clínico o de cualquier otra índole que puedan afectar a la seguridad de las personas, a su honor a la intimidad de su vida privada y familiar, y a su propia imagen, no podrán ser públicamente consultados sin que medie consentimiento expreso de los afectados o hasta que hayan transcurrido un plazo de 25 años desde su muerte si esa fecha fuere conocida o en otro caso a partir de 50 años desde la fecha de los documentos.

El artículo 32 del Código Civil dispone que la personalidad civil se extingue por la muerte de las personas, en este sentido cabe citar la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, en la que el Alto Tribunal afirma que, “si el derecho fundamental a la protección de datos ha de ser considerado como el derecho del individuo a decidir sobre la posibilidad de que un tercero pueda conocer y tratar la información que le es propia, lo que se traduce en la prestación de su consentimiento al tratamiento, en el deber de ser informado y en el ejercicio por el afectado de sus derechos de acceso, rectificación, cancelación y oposición, es evidente que dicho derecho desaparece por la muerte de las personas, por que los tratamientos de datos personas fallecidas no podrían considerarse comprendidos dentro del ámbito de aplicación de la Ley Orgánica 15/1999”.

El Real Decreto 1720/2007, establece en su artículo 2.4 una excepción a dicha regla, en tanto, “las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de este con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo y solicitar, cuando hubiere lugar a ello, la cancelación de los datos”. Como complemento al citado consentimiento expresado en la Ley y las excepciones legales recogidas en la legislación complementaria citada, para el tratamiento de dichos datos habrá que tener en cuenta que el fallecido no hubiera ejercitado en vida el derecho de cancelación de sus datos (16 de la Ley Orgánica 15/1999 y 31 y ss. del Real Decreto 1720/2007) o de oposición (17 de la Ley y 34 y ss. del Reglamento), o que en virtud del artículo 2.4 del Real Decreto 1720/2007 las personas vinculadas al fallecido no hubieran solicitado la cancelación de los datos.