Pepephone se autodenuncia ante la Agencia Española de Protección de Datos

pepephone

Por Francisco Santamaría Ramos

El otro día, buceando por la red, descubro para mi sorpresa una noticia muy interesante a la par que digna de ser comentada por sus múltiples facetas y posibilidades.

El titular, en la página web www.movilonia.com decía así: «Pepephone se autodenuncia ante la Agencia de Protección de Datos»

Lo primero que pensé, evidentemente, es que era un producto de mi imaginación, que estaba soñando o que sin duda debía visitar con urgencia a un oftalmólogo dado que mis globos oculares estaban sufriendo un gran deterioro…

Una vez comprobado empíricamente que estaba despierto y que mis ojos seguían siendo los mismos de siempre, opté por pensar que era 28 de diciembre y que me encontraba inmerso en una inocentada de proporciones astronómicas, pero tampoco… las inocentadas pasarón hace ya meses y la noticia era ni más ni menos que del 30 de abril…

Superado el estupor ante el titular, procedí a leer la noticia en detalle y que se puede consultar a través del presente link: http://www.movilonia.com/pepephone-denuncia-agencia-proteccion-datos/

Resumiendo la ya de por sí resumida noticia:

Pepephone dejó al descubierto la dirección de correo electrónico de 4.845 destinatarios reconiciendo vía Twitter dicha situación y no sólo eso sino anunciando que tomarían medidas legales: «Nos auto-denunciaremos a la APD por el error que hemos cometido al enviar un mail a 4.800 personas sin copia oculta. Lo lamentamos».

Sólo tengo una palabra para este comentario en Twitter: ¡INAUDITO!

No se ustedes pero yo es la primera vez que escucho que una empresa está tan sensibilizada con la protección de datos de carácter personal que se auto-denuncia y, por tanto, asume plenamente la posible sanción económica y que no olvidemos es una sanción grave por violar el principio de confidencialidad establecido en el artículo 10 de la LOPD o sea, que siendo rigurosos, una multa entre 40.001 euros y 60.000 euros.

Y fue en este momento donde uno tiene ese pequeño pinchazo en el cerebro, ese momento casi ascético y espiritual que muchos denominan “encender la bombilla”, pues a mí, sinceramente se me encendió.

La palabra clave o mejor dicho, las palabras clave desde mi punto de vista son publicidad, marketing y adelantarse a los acontecimientos.

Publicidad y Marketing porque se posicionan o, al menos, yo lo veo así como la primera organización que reconoce su error y, además, se auto-denuncia. Es decir, antes de que me castiguen, me convierto en mártir de la causa: “Sí, sí, he sido yo, por favor sancionenme, he sido un chico malo…”.

Esto genera un doble escenario:

Por un lado, las personas ven a la operadora como una entidad responsable con los datos, dispuesta a todo contal de garantizar la protección de los datos personales de sus clientes. Que no haría esta entidad por nuestros datos…

De otro lado, posicionamiento… Éticamente hablando… ¿como la Agencia Española de Protección de Datos puede poner 60.000 euros de multa a una entidad que se ha personado y le ha pedido públicamente que la sancione? Evidentemente 40.000 tampoco le va a poner…. tendrá que ser mucho menos o se verá a la entidad pública como un Ogro recaudador con dientes afilados dispuesto a devorar a cualquier entidad privada que vulnere la normativa de protección de datos de carácter personal.

En definitiva creo que estamos en presencia de una genial campaña de Publicidad. Mi más sincera enhorabuena a los creativos de Pepephone porque con esta brillante idea se han superado y han abierto un gran camino a todas las entidades privadas, el camino del penitente, dispuesto a aceptar cualquier castigo….

Yo por mi parte, esperaré ansioso a la resolución de la Agencia Española de Protección de Datos a la que, en esta ocasión, han puesto entre la espada y la pared.

Colombia, 41 personas condenadas por violación de datos

justicia_colombiana

Por Nelson Remolina Angarita

Según datos estadísticos del INPEC  (Instituto Nacional Penitenciario y Carcelario) 41 personas han sido condenadas por el delito de violación de datos personales. De otra parte, desde el 1 de marzo de 2010 hasta el 22 de marzo de 2013, la Superintendencia de Industria y Comercio (SIC) ha impuesto 544 multas por $4.719,129,675 (US$2,556,408 aprox).

Las sanciones de la SIC se refieren a situaciones de infracciones de la ley de habeas data financiero (Ley 1266 de 2008). Los principales motivos de las mismas son: (1) No veracidad de la información reportada; (2) Falta de atención debida de reclamos y peticiones de los titulares de los datos; (3) Omisión de la comunicación previa a la persona antes de reportarla a las centrales de riesgo y (4) recolección de datos sin autorización del titular.

La información sobre las condenas penales fue publicada por el INPEC el pasado 5 de abril en las estadísticas tituladas “modalidades delictivas poblacion internos marzo 2013″

Mediante la  ley 1273 de 2009   (Publicada en el Diario Oficial No. 47.223 del 5 de enero de 2009) se crearon algunos tipos penales que sancionan, entre otros, ciertos aspectos relacionados con el tratamiento de datos personales como el acceso no autorizado a sistemas de información, la destrucción o manipulación de datos, la suplantación de sitios web para capturar datos personales  y la violación de datos personales. Este último delito sanciona con prisión de 4 a 8 años y multa de 100 a 1000 salarios mínimos legales mensuales a quien “sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes”

Como se observa, son diversas las conductas que generan responsabilidad penal tratándose del tratamiento de datos personales. Esto hace que tanto los responsables como los encargados del tratamiento realicen una gestión muy cuidadosa y diligente  para no incurrir en responsabilidad penal. Lo anterior es aún más grave si se tiene en cuenta que la pena señalada se aumenta de la mitad a las tres cuartas partes si la conducta la cometiere “ (…) el responsable de la administración, manejo o control de dicha información”. Adicionalmente, dicha persona se expone a que se le imponga “hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales”

Publicado por el autor en el Observatorio Ciro Angarita Barón el 18 de abril de 2013. Fuente de la imagen: vanguardia.com.

Sanción por facilitar datos de ancianos a una farmacia

farmacia_5

Por Daniel A. López Carballo

El Tribunal Supremo confirmaba la sanción de la Agencia Española de Protección de Datos a una residencia de ancianos por facilitar a una farmacia un listado con datos personales de los residentes. El Alto Tribunal ratifica la multa de 300.506 euros a la residencia.

Tras una inspección en la farmacia, el titular de la misma reconoció que la residencia de ancianos le facilitó un listado con una relación de sus clientes. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social.

El titular de la farmacia reconoció que la residencia de ancianos es uno de sus principales clientes y que las órdenes de pedido se refieren tanto a productos cubiertos por la Seguridad Social como a no cubiertos. En este segundo caso, el Centro Residencial comunica, bien por teléfono o por escrito, la relación de los productos con indicación del residente para el que se solicitan.

El listado aportado por la residencia de ancianos contenía los siguientes campos de información de sus residentes: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. En la residencia de mayores se verificó que en sus equipos informáticos se encontraba un fichero automatizado tipo hoja de cálculo Excel, cuyo formato coincide exactamente con el listado aportado a la inspección por el titular de la farmacia. Los datos contenidos en el fichero corresponden a 162 residentes del centro, los cuales figuran también en el listado aportado a la Inspección por el titular farmacéutico.

En los contratos suscritos entre la residencia y los residentes, tal y como quedó probado, no se informa a los mismos sobre los derechos que les asisten contemplados en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Por su parte, la residencia de ancianos argumentó que presta a los residentes un servicio de atención integral, que permita cubrir todas sus necesidades, incluidas las de acceso a medicamentos y artículos de higiene personal. Añadiendo que “la prestación de esa concreta asistencia sólo puede realizarse mediante la confección de un pedido a la farmacia y con la facilitación de los datos de cada persona a los efectos de cobro”.

La Sala del Tribunal Supremos, mantiene que no está en condiciones de determinar el modo en que se debería proceder al suministro de medicamentos y productos de parafarmacia a las personas que se encuentran ingresadas en una residencia en la que reciben una asistencia integral. “No obstante, lo que sí se puede afirmar sin temor a error es que el mecanismo ideado para proceder a ese suministro produce claras infracciones de los derechos a la protección de datos de las personas ingresadas”, apunta.

El Supremo insiste en que la prestación del servicio farmacéutico por parte de la recurrente a sus residentes no fue precedido de una información expresa en la que se hiciese saber a los residentes la facilitación de sus datos de carácter personal a la oficina de farmacia. Según la Sala, tampoco puede sostenerse que la información requerida esté implícita en la relación jurídica aceptada por los residentes, aún cuando se admita que la relación de mención abarca una asistencia integral que incluye el servicio farmacéutico. Por todo ello, se desestima el recurso de casación interpuesto por la Residencia, contra sentencia de la Audiencia Nacional, que confirma la sanción de la Agencia Española de Protección de Datos de 300.506 euros. (TS 08/10/2010, Rº 4353/06).

Detenido por publicar la analítica de un paciente

laboratorio_3

Por Daniel A. López Carballo

Diferentes medios aragonses se hacían eco de la noticia sobre la detención por parte de la Policía Nacional de una persona en Zaragoza por colgar datos médicos de otra. El implicado, responsable del sistema de mantenimiento informático de un centro sanitario, difundio en su blog datos sanitarios de un enfermo.

Según informaba la Jefatura Superior de Policía de Aragón, las investigaciones se iniciaron a raíz de la denuncia interpuesta por el paciente afectado tras lcoalizar por internet los resultadios íntegros de una análitica a la que se habia sometido recientemente. En el marco de la llamada “Operación Nood”, los agentes del Grupo de Delitos Tecnólogicos inicaron una investigación que llevo a instar la eliminación de lso datos publciados y averiguar el origen de la filtración. Se comprobo que en la cadena médica no se había producido ninuna filtración en la custodia de los datos, desde el momento de la extracción hasta la comunciación de los resultados al paciente.

La investigación concluyó que la filtración provenía del sistema de mantenimiento informático, y que el rpesunto autor era. además, el propietaio del alojamiento web donde aparecían expuestos los resultados de forma pública, imputándosele un delito de descubrimiento y revelación de secretos.

Al amparo de la legislación vigente en materia de protección de datos, a la información sanitaria se le otorga el nivel máximo de protección. La Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal, establece las medias de seguridad que se deben tomar, entre ellas el registro de quien accede a la información, así como sus funciones y niveld e acceso, además se establece que los datos no podran ser utilziados con otra finalidad diferente de aquella por la que fueron recogidos, y que deberá mediar el consentimiento y conocimiento del propio paciente, en aras a una mayor protección de su intimidad y salvaguarda de su honor y privacidad.

Confirmación sanción por acceso ilegítimo a historia clínica

Historia_clinica_4

Por Daniel A. López Carballo

Según informaban diferentes medios de comunicación y el propio Tribunal Superior de Justicia de Navarra, a través de su twitter, la Sala de lo Contencioso-Administrativo del Tribunal ha confirmado la condena de 125.000 euros al Servicio Navarro de Salud por el acceso “ilegítimo” y masivo al historial clínico de una paciente fallecida.

La sentencia obliga a retirar las fotografías de la historia clínica, al considerar que se ha producido un duncionamiento fuera de lo normal, en la medida en que se ha permitido accesos ilegítimos a la historia clínica informatizada de la paciente.

Los demandantes, según informa el Diario Vasco, exponían que se habían permitido accesos “ilegítimos” a la historia clínica informatizada de la paciente “que vulneran el derecho a su intimidad personal y familiar” y también “el derecho a la protección de datos personales, que incide no solo en la intimidad personal, sino también en la familiar”. Pese a que Salud alegó que era “práctica habitual” de los servicios de Medicina Intensiva y Cirugía Plástica sacar fotografías “para fines estrictamente terapéuticos, de tratamiento y de diagnóstico”, el tribunal cree que fueron muchas las instantáneas que se sacaron y que todas ellas eran “especialmente duras del cuerpo de una mujer muy joven desnudo y en un estado impactante”. De hecho, precisa que hubo 2.825 accesos a estas fotografías, realizados por 417 usuarios integrados en 55 servicios y procedentes de todos los centros sanitarios, cuando la paciente “sólo estuvo en un hospital y en cuatro servicios”.

Considera la parte demandante, “claramente evidenciado” que ha existido un funcionamiento “anormal” del servicio sanitario “porque no ha podido impedir el acceso casi indiscriminado de profesionales no implicados en el diagnóstico y tratamiento de la paciente al historial clínico informatizado de la misma”, accesos que por ello se han considerado “ilegítimos”. Evidenciándose, además, que las medidas de seguridad y protocolo de trabajo en la Administración sanitaria para garantizar la protección de datos y del acceso a los historiales clínicos informatizados “no son suficientes”, porque en este caso no han garantizado la confidencialidad.

Con esta Sentencia, el Tribunal Superior de Justicia de Navarra desestima el recurso presentado por el Servicio Navarro de Salud contra la sentencia dictada el 25 de mayo de 2011, en la que se admitía la responsabilidad patrimonial formulada por el padre y la hermana de la fallecida.

Infracción grave por extraviar una historia clínica

historia_clinica_5

Por Daniel A. López Carballo

Los hechos ocurrieron en 2009, cuando la denunciante solicitó al Hospital Clínico de Valladolid su historial clínico y tuvo constancia de que la información había sido extraviada, recibiendo contestación por parte de la dirección del centro hospitalario mediante carta, en la que se decía “que su historial clínico ha sido reconstruido y archivado para su utilización en sucesivas ocasiones, a la espera de su próxima localización. El hospital se encuentra inmerso en un proceso de digitalización de la historia clínica, que evitará en un futuro situaciones como la que usted relata en su escrito”.

En su resolución R/02182/2010, La Agencia Española de Protección de Datos, en relación a la conservación de la historia clínica, tal y como se recoge en el artículo 18 de la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, expone que “los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado para cada caso y, como mínimo, cinco años, desde la fecha de alta de cada proceso asistencial”, continuando citando el artículo 19 de la Ley, por el que se establece que “el paciente tiene derecho a que los centros sanitarios establezcan un mecanismo de custodia activa y diligente de las historias clínicas”.

El artículo 14 de la citada Ley define historia clínica como conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro. Estableciendo que cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información.

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal atribuye al responsable del fichero, o en su caso el encargado de tratamiento, la responsabilidad de adoptar cuantas medidas, técnicas y organizativas, fueren necesarias para garantizar la seguridad de los datos, evitando así su pérdida, alteración o acceso no autorizado, independientemente de que los riesgos provengan de la acción humana o del medio físico o natural.

El Reglamento de desarrollo de la Ley Orgánica de protección de datos, en su articulo 5.1.g) dispone que se entenderá por “datos de carácter personal relacionados con la salud: las informaciones concernientes a la saluda pasada, presente y futura, física o mental, de un individuo”. Conforme a la clasificación de niveles de seguridad recogidos en la norma, a los datos referentes a la salud pasada, presente o futura de las personas deberán aplicarse la medidas de nivel alto. El artículo 81.3.a) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, establece que “además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual”.

Además de la carencia de medidas de seguridad en cuanto a su localización, la acción del Hospital pone de manifiesto otras irregularidades en el cumplimiento normativo en materia de protección de datos, como son el inventariado de soportes, o el registro de personas que acceden a la información, entre otros, cuya correcta llevanza habría facilitado la localización del historial clínico y su entrega a la paciente solicitante. La resolución sancionadora de la Agencia Española de Protección de Datos califica los hechos como infracción grave, en virtud al artículo 44.3.h) de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad”.

La resolución, de diciembre de 2010, no lleva aparejada sanción económica por tratarse de una administración pública, pero si sienta un precedente aplicable a cualquier centro de trabajo, y con mayor relieve a aquellos que tratan datos especialmente protegidos, la falta de celo profesional o el descuido en las medidas de seguridad, puede conllevar un riesgo en la confidencialidad de la información de la que somos responsables, el extravío de la misma lleva consigo la posibilidad de que un tercero no autorizado pudiera acceder a la misma y, utilizarla con fines no autorizados, pudiendo poner en riesgo el honor e intimidad del afectado.

En relación a las medidas de seguridad, cabe recordar las expuestas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, artículos 101 y siguientes en lo relativo a datos informatizado y, 111 y siguientes en lo referente a datos en formato papel; además de las referentes a los niveles medio y básico.

Potestad sancionadora de la Agencia Española de Protección de Datos

agpdPor Javier Villegas Flores

El artículo 131.3 Ley 30/92, de de junio, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, señala que “en la determinación normativa del régimen sancionador, así como en la imposición de sanciones por las Administraciones Públicas se deberá guardar la debida adecuación entre la gravedad del hecho constitutivo de la infracción y la sanción aplicada, considerándose especialmente los siguientes criterios para la graduación de la sanción a aplicar:

A) La existencia de intencionalidad o reiteración.

B) La naturaleza de los perjuicios causados.

C) La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarado por resolución firme.”

La AEPD, ente de derecho público con personalidad jurídica propia, tiene entre sus funciones la del ejercicio de la potestad sancionadora, de acuerdo al Título VII de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), que regula los tipos de infracciones y las sanciones correspondientes, y cuya aplicación se lleva a efecto a través del procedimiento sancionador establecido en el Capítulo III del Título IX del Reglamento de Desarrollo de la LOPD (RLOPD).

Es el ejercicio de esta actividad de policía de la Agencia el punto más controvertido de la regulación española en materia de protección de datos, pues impone sanciones en muchos casos desproporcionadas a la gravedad de los hechos, o la actuación de los sujetos infractores, dando lugar a situaciones de flagrante desequilibrio, sobre todo si ponemos la lupa en el derecho comparado, tanto internacional (es la legislación más restrictiva de la Unión Europea) como interno:

Así, Samuel Parra señala en su blog que la amputación del dedo de un menor que trabajaba ilegalmente, manipulando maquinaria peligrosa sin las medidas de seguridad legalmente establecidas, dio lugar a una sanción para la empresa responsable de 30.000 €, según la normativa de Prevención de Riesgos Laborales, mientras que el envío de cartas a domicilios de antiguos compañeros de colegio por parte de un particular, incumpliendo las exigencias legales de protección de datos, tuvo como consecuencia una multa de 60.000 €.

Tampoco ayuda demasiado  a empatizar con la actitud de la AEPD el hecho de que la misma se autofinancie con el importe de las sanciones aplicadas. Si bien es verdad que son los Presupuestos Generales del Estado los que financian al ente público, y la cuantía recaudada en concepto de multas va a parar a una cuenta no dedicada a gastos corrientes de la misma, la percepción general es que es el afán recaudatorio, por encima del ánimo educador, lo que prima en la actuación de la AEPD.

En cualquier caso, no dudamos que la imposición de multas no consiga el efecto deseado en muchos casos, pero la impresión es que más que concienciación lo que genera es pánico en las empresas, que muchas veces no saben como actuar, y que en no pocos casos se ven incapaces de llevar a cabo todas las medidas de seguridad que exige la normativa, debido a la imposibilidad material o económica de su puesta en práctica.

La situación se agrava con la aplicación por parte de la AEPD del art. 130 de la Ley 30/92, que admite que “sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia”. Por tanto, la mera falta del deber de cuidado puede dar lugar a sanción, sin entrar a valorar la culpabilidad del infractor, al que se le impone una obligación de resultado tal y como ha señalado la Audiencia Nacional en Sentencia de 6 de febrero de 2008.

La reforma del régimen sancionador de la LOPD, operada recientemente con la aprobación de la Ley de Economía Sostenible, ha paliado en parte esta situación, y purga algunos de los excesos de la normativa anterior, situando más el enfoque en el fomento del respeto a la protección de datos, incentivando los mecanismos de advertencia y seguimiento a través de la figura del apercibimiento (en caso de infracciones leves o graves por parte de infractores “primerizos”), que requiere la adopción de las correspondientes medidas, y permitiendo la graduación de la imposición de multas en función de las circunstancias concurrentes en la infracción.

Es éste, bajo nuestro punto de vista, el enfoque necesario que debe adoptar la legislación española, que en momentos tan críticos como los que vivimos actualmente no puede permitirse un régimen sancionador tan gravoso, sobre todo si lo comparamos con el de otros países cuya situación económica y tejido empresarial goza de una situación bastante más saludable que la nuestra.

Debemos aprovechar las sinergias positivas que ha dejado a su paso la aplicación de un régimen sancionado tan duro, para abrir el camino a una nueva etapa en la que la educación y la concienciación, acompañadas como no de una proporcionada aplicación de medidas punitivas siempre aparejadas de instrumentos correctores y aseguradores, sean los que guíen la senda del objetivo marcado: el respeto al derecho fundamental consagrado en el artículo 18 de la Constitución Española.

Datos empresariales, empleados y privacidad

datso-empresariales

Por Joel Gómez Treviño

Hace tiempo tuve una reunión en un banco multinacional muy importante. A la entrada de las oficinas tenían un dispositivo de seguridad muy aparatoso, prácticamente “estilo aeropuerto”. Me pareció tremendamente inusual, pues no era la primera vez que iba y antes se conformaban con el típico registro con IFE y número de serie de tu laptop, si es que llevabas una. En esta ocasión, detectaron que llevaba una laptop y me dijeron: “su máquina no puede pasar señor, tiene que dejarla aquí con nosotros”. Como no había alternativa, pues seguí adelante y me dirigí a la reunión agendada. Le pregunté a mi contacto que si pasaba algo, pues veía inusuales medidas de seguridad, a lo que me respondió que si, pues un par de semanas antes había entrado un “ingeniero social” (un tipo que se hizo pasar por otro) con una computadora en su portafolio, se metió a una oficina y extrajo una importante base de datos del banco. “Por eso prohibieron la entrada con laptops, por ahora”, agregó. Me quedé pensando: traigo en mi saco un mini-disco duro de 250 GB, un pen drive de 16 GB y en mi celular tengo una micro SD de 32 GB. En una bolsa de mi saco, traía más capacidad de almacenamiento que la laptop que me habían retenido en la entrada.

¿Te has puesto a pensar que tus empleados cargan diariamente diversos dispositivos personales, tales como smartphones, tablets, memorias, discos duros y tal vez hasta sus propias laptops y los usan en el trabajo? Aún si no cargaran ningún dispositivo, con solo conectarse a internet tienen acceso a correos electrónicos personales y discos duros virtuales. En la nube, yo tengo disponibles 25 GB en Google Docs (Google Drive), 53 GB en Dropbox, 50 GB en Box, 5 GB en SugarSync, entre otros servicios.

¿Qué tan valiosa es para tu empresa información como: listas de clientes, próximos lanzamientos de productos o servicios, diseños de campañas publicitarias de tus clientes, datos personales de clientes, empleados y proveedores, fórmulas, estados financieros, información contable, nómina, cuentas por pagar, contratos, etc.? ¿Tienes idea de las consecuencias que puedes enfrentar si pierdes esta información o si la revelas sin autorización?

En el peor de los casos, puedes ser sujeto a una multa de más de $19 millones de pesos y/o a una condena de 10 años en prisión. Esto sin contar las demandas millonarias por daños y perjuicios a las que puedes ser sujeto por parte de los titulares de la información vulnerada o revelada indebidamente. En estos escenarios, no solo la empresa, sino los propios empleados pueden enfrentar consecuencias legales serias y de diferente índole (sanciones civiles, penales, laborales, administrativas, etc.)

En pocas palabras: ¿qué medidas has tomado en tu empresa u organización para controlar el acceso, flujo, custodia, integridad, confidencialidad y seguridad de la información? Es importante mencionar que estas medidas siempre deberán ser técnicas, físicas y administrativas. En pocas palabras, de nada sirve tener los mejores controles tecnológicos y medidas físicas de seguridad, si no tienes cláusulas, contratos y políticas de privacidad y confidencialidad, y viceversa. Recuerda, lo más valioso de tu empresa siempre será la información y otros activos intangibles (marcas, patentes, derechos de autor, etc).

Sanción en México, vulneración en protección de datos

Por Daniel A. López Carballo

Tal y como se hacia eco Expansión, el pasado día 7 de diciembre de 2012, el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) de México, sancionaba a una empresa de ramo farmacéutico por violar la Ley Federal de Protección de Datos personales en Posesión de los Particulares. Segun informaba el citado organismo “IFAI vigila el cumplimiento de la ley y garantiza la protección de los datos de las personas”.

En el procedimiento sancionador, el IFAI resolvía contra la empresa que “condicionaba la venta de medicamentos psicotropos a que en la receta ecpedida se iondicará el nombre y dirección del paciente”, “determinandose que el responsable incurrió en infracciones a la ley, al contravenir el principio de información, por no poner a disposición de las personas el aviso de privacidad mediante el cual se les informara la existencia y características principales del tratamiento de sus datos personales” incluyéndose “el elemento de identidad, que consiste en informar el nombre o denominación del responsable que recaba y trata los datos personales”.

Una vez analizadas las pruebas por el IFAI. se resolvió sancionar a la empresa farmacéutica por vulneración del principiod e información e incumplimiento con el elemento de identidad, por valor de 1.500.033,78 pesos y 500.011,26 pesos respectivamente.

Instituto Federal de Acceso a la Información y Protección de Datos

El Instituto es el organismo del Poder Ejecutivo Federal de México, con autonomía presupuestaria y de decisión, encaragdo de garantizar el derecho de acceso de las personas a la información pública gubernamental, proteger los datos personales que están en manos tanto del gobierno federal, como de los particulares y, resolver los reclamos sobre las negativas de acceso a la información que las dependencias o entidades del gobierno federal hayan formulado a los solicitantes. Presidido actualmente por Jacqueline Peschard Mariscal, esta compuesto por un pleno de cinco comisionados, designados por el Ejecutivo méxicano y ratificados por el Senado por un mandato de siete años sin posibilidad de ser reelegidos.

Entre sus facultades está el pedir la revelación a petición expresa de un ciudadano, la cual no es necesario que se revele la identidad del peticionario.Así mismo, en la legislación méxicana especifica bajo que condiciones los documentos son públicos, confidenciales o temporalmente reservados para su revelación, quedando obligados los tres poderes federales, el Ejecutivo, Legislativo y Judicial, junto con los organismos públicos aútónomos como el propio Banco de México, y aquellos otros dependiente de los poderes federales.