Entradas

La AEPD presenta los resultados de la inspección a los hospitales públicos

La AEPD presenta los resultados de la inspección a los hospitales públicos

La Agencia Española de Protección de Datos (AEPD) ha publicado el pasado mes de septiembre un Plan de inspección sectorial de oficio realizado a hospitales públicos, en el que se recogen los resultados y las conclusiones del análisis realizado por la AEPD sobre el nivel de cumplimiento de las garantías en materia de protección de datos por parte de los hospitales públicos.

Los planes de oficio de la AEPD, se realizan con carácter preventivo, analizan el cumplimiento de la normativa en sectores o áreas específicas para obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal.

El informe ofrece un punto de referencia para que el sector sanitario pueda abordar la adaptación de sus sistemas y procedimientos a los requerimientos que impone el nuevo Reglamento General.

Los datos de salud se encuentran en el Reglamento catalogados como “categorías especiales”, cuyo tratamiento exige garantías reforzadas.

Tendencias favorables en la normativa de protección de datos.

Entre las principales conclusiones del informe hay que mencionar una tendencia favorable a la asunción progresiva de la normativa y de los principios y la cultura de protección de datos
La evaluación publicada consiste en unas recomendaciones que son aplicables a todo tipo de centros sanitarios. En este sentido, hay que destacar que los datos de salud se encuentran incluidos en el Reglamento General de Protección de Datos (RGPD), que será aplicable el 25 de mayo de 2018, entre los catalogados como “categorías especiales”, cuyo tratamiento exige garantías reforzadas.

El informe está centrado en la auditoría de los aspectos en los que se detectaron carencias en los planes de inspección realizados en 1995 y 2010, en concreto, en las medidas de seguridad implementadas.
Se han auditado hospitales que, partiendo de una situación de historia clínica en papel, la han transferido a formato electrónico, hospitales que conservan todavía la historia clínica en papel y que están inmersos en procesos de automatización, y hospitales que cuentan con historia clínica electrónica desde su creación.

Entre las principales conclusiones del análisis se ha constatado, en líneas generales, una tendencia favorable a la progresiva asunción no sólo de la normativa sino de los principios y la cultura de protección de datos.

Mejoría en el tratamiento de datos.

El informe pone de manifiesto que los errores detectados en el tratamiento de los datos no constituyen comportamientos generales, lo que supone una mejoría en comparación con las situaciones anteriores.

Entre los aspectos que se pueden y deben mejorar hay que destacar los relacionados con la información ofrecida a los pacientes o el refuerzo de las medidas de seguridad. Como ejemplo, respecto al consentimiento, la Agencia recoge en el informe que es necesario recabarlo para saber si el paciente desea que su presencia y ubicación en el hospital sea comunicada a las personas o familiares que pregunten por ello y, si este no se opone, el hospital puede informar de si se encuentra en urgencias o ingresado y el número de habitación, sin indicar datos de salud o la atención médica prestada.

La publicación de este Plan de inspección está acompañada de un decálogo básico que recoge los puntos más relevantes de la normativa de protección de datos orientados al personal sanitario y administrativo de los centros, con el objetivo final de elevar el nivel de cumplimiento y generar confianza en las actuaciones de las instituciones sanitarias tanto en el ámbito asistencial como en el de la investigación.

La AEPD presenta nuevos recursos de ayuda

La AEPD presenta nuevos recursos de ayuda

La AEPD presenta nuevos recursos de ayuda orientados a centros docentes y familias para fomentar la privacidad y la protección de datos, consiste en una guía de Protección de datos en centros educativos, una serie de vídeos titulados: “Tú controlas en internet” y un taller para familias: “Los menores y su cibermundo”.

 

Los nuevos contenidos se enmarcan en las actuaciones previstas en el Plan Estratégico 2015-2019 de la Agencia y se han presentado en colaboración con el Ministerio de Educación, Cultura y Deporte en virtud del convenio suscrito por ambas entidades para impulsar la formación de los menores en materia de privacidad y protección de datos, en especial en internet.

 

La guía: “Protección de datos para centros educativos”, ofrece respuesta directa a las dudas más frecuentes planteadas por la comunidad educativa. Surgida de la necesidad de dar respuesta a las dudas más habituales que se plantean ante el Canal Joven de la Agencia tanto de los centros docentes como de profesores, AMPAs o las propias familias, y sumando además las aportaciones de la comunidad educativa.

 

Guía practica de protección de datos

 

El resultado es una guía práctica que, además de los conceptos y principios básicos sobre protección de datos, incluye la respuesta directa a más de 80 preguntas, muchas de ellas relacionadas con la expansión de las nuevas tecnologías, como por ejemplo: ¿Puede un centro educativo acceder al contenido de dispositivos electrónicos de los alumnos?, ¿pueden los profesores crear grupos con alumnos utilizando aplicaciones de mensajería instantánea?, o ¿pueden publicarse en la web del centro fotografías o vídeos de los alumnos?

 

La guía incluye además un Decálogo simplificado con los aspectos más relevantes para realizar un uso adecuado de los datos personales en los centros educativos así como una sección específica de los cambios que producirá la aplicación del nuevo Reglamento General de Protección de Datos el 25 de mayo de 2018.

 

Los vídeos “Tú controlas internet” están orientados a concienciar a los menores sobre algunas situaciones de riesgo. Son cuatro vídeos que pueden ser visionados tanto en el aula como en familia y que abordan situaciones como el ciber-acoso (llamado “En este partido nos la jugamos”), el grooming (“Planazo de fin de semana”), el sexting (“Un vídeo muy especial”) o la dependencia tecnológica (“Un crack del BMX”).

 

La Agencia considera que la distribución de estos materiales a través de las aulas es imprescindible para llegar a los más de 8 millones de alumnos escolarizados, por lo que solicita la colaboración de todos los actores implicados en la educación de los menores para que contribuyan a prevenir y concienciar de estos peligros.

 

Vídeos como herramienta de la educación digital

 

La finalidad de estos vídeos es que sean utilizados como herramienta para fomentar la educación digital de los menores, contribuyendo a evitar que puedan verse involucrados en situaciones de riesgo que, en ocasiones, producen un daño difícil de reparar debido al efecto multiplicador de redes sociales o mensajería instantánea. La AEPD se ha decantado por utilizar en estos vídeos la técnica visual thinking considerando el dibujo como una herramienta útil para captar la atención y facilitar la comprensión de estos conceptos en grupos de diferentes edades.

 

El taller para familias: “Los menores y su cibermundo” son consejos sobre cómo acompañar a los hijos en su utilización de las nuevas tecnologías.

 

El tercer proyecto que ha presentado la Agencia es el taller para familias “Los menores y su cibermundo”, conducido por el experto Ángel-Pablo Avilés, autor de El blog de Angelucho. El taller, que incluye orientaciones y pautas, está compuesto por nueve vídeos de entre dos y diez minutos de duración en los que se abordan temas de interés para los padres a la hora acompañar a sus hijos en su relación con las nuevas tecnologías. El funcionamiento de las aplicaciones más utilizadas por los jóvenes y los riesgos más comunes asociadas a las mismas son algunos de los contenidos tratados.

 

Según datos del CIS, un 36,6% considera que el riesgo más habitual al que se exponen los menores es la difusión de fotos o vídeos comprometidos, seguido de dar a conocer demasiada información sobre ellos mismos a gente que no conoce (24,3%).

datos electorales protegidos

Datos electorales limitados en el tiempo y protegidos

Según el informe 0244/2014 de la Agencia Española de Protección de Datos el uso del censo electoral por las distintas candidaturas plantea diversas cuestiones relacionadas con la aplicación de las normas contenidas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos electorales de Carácter Personal, y su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre, a la utilización por parte de los partidos políticos de la copia del censo electoral que les es remitida por el Instituto Nacional de Estadística en cumplimiento de lo establecido en el artículo 41 de la Ley Orgánica 5/1985, de 19 de junio, reguladora del Régimen Electoral General.

Según dicha Ley la Constitución impone al Estado, por una parte, el desarrollo del artículo 23, que afecta a uno de los derechos fundamentales en la realización de un Estado de Derecho: la regulación del sufragio activo y pasivo para todos los ciudadanos.

También, el artículo 81 de la Constitución, al imponer una Ley Orgánica del Régimen Electoral General, amplía el campo de actuación que debe cubrir el Estado, más allá de lo que es mera garantía del derecho de sufragio, bajo ese epígrafe hay que entender lo que es primario y nuclear en el régimen electoral.

Además, el Estado tiene la competencia exclusiva, según el artículo 149.1.1 de la Constitución, para regular las condiciones básicas que garantizan la igualdad de todos los españoles en el ejercicio de los derechos constitucionales, derechos entre los que figura el de sufragio comprendido en el artículo 23 de la Constitución.

Pues bien, en relación a la Protección de Datos, según la Agencia existe una cesión de datos a las candidaturas, amparada en el artículo 41.5 de la Ley Orgánica 5/1985, en conexión con el artículo 11.2 a) de la Ley Orgánica 15/1999.

Las candidaturas son responsables de un fichero que habrán de notificar al Registro General de Protección de Datos, si bien no será precisa más que una notificación y no una por campaña electoral.

La cesión se funda en circunstancias concretas, limitando el uso de los datos electorales tanto de modo temporal (debiendo producirse su cancelación al término de la campaña) como en cuanto a los fines (limitados exclusivamente a los consagrados por la propia Ley Orgánica 5/1985.

La normativa actualmente vigente únicamente habilita a los electores para ejercer su derecho de oposición de forma excepcional y en los términos establecidos en el artículo 41.6, con carácter previo a la cesión y sólo sobre la base de las circunstancias que ese precepto menciona.

Política y protecció de datos

Por el contrario, dicho régimen no permite ejercer ante las candidaturas el derecho de oposición sobre la mera base del deseo de no recibir propaganda electoral, al haber considerado el legislador que prevalece sobre aquél el artículo 23 de la Constitución, con la única salvedad prevista en el artículo 41.6. de la Ley Orgánica 5/1985.

Con la Ley Orgánica 2/2016, de 31 de octubre, de modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, para el supuesto de convocatoria automática de elecciones en virtud de lo dispuesto en el apartado 5 del artículo 99 de la Constitución (BOE de 1 de noviembre de 2016), se modificó para acortar los plazos y no incurrir en situaciones con el año pasado, donde no se elegía Gobierno.

Pero en cuestión de datos electorales hubo modificaciones. En concreto sobre el voto por correo, ya que una vez solicitado el voto por correspondencia, la Oficina del Censo Electoral remitirá las papeletas y los sobres electorales por correo certificado al elector, junto con el resto de la documentación, de acuerdo con lo dispuesto en el artículo 75 de esta Ley Orgánica, los españoles inscritos en el censo de los electores residentes-ausentes podrán formular, mediante impreso oficial, la solicitud de voto dirigida a la correspondiente Delegación Provincial del Censo Electoral, no más tarde del vigésimo quinto día posterior a la convocatoria. Y se entenderá válida y no requerirá que vuelva a ser formulada para el nuevo proceso electoral la solicitud aceptada por la Oficina del Censo Electoral que los españoles inscritos en el censo de los electores residentes-ausentes en el extranjero hubieren formulado para las elecciones a Cortes Generales inmediatamente anteriores, siempre que dichos españoles sigan inscritos en el censo de electores residentes-ausentes vigente para las nuevas elecciones.

Y referente al tema de actualidad en Cataluña, nada de lo comentado interviene, ya que todo el proceso ha sido suspendido por el Tribunal Constitucional, por lo que todo lo que se haga al respecto, estará fuera de la ley.

Datos electorales limitados en el tiempo y protegidos

Formación tecnológica para el delegado de protección de datos

Formación tecnológica para el delegado de protección de datos

En mayo de 2018, cuando entre en vigor en toda la UE el Reglamento General de Protección de Datos, será necesaria la formación tecnológica para el delegado de protección de datos en muchas empresas y todas las Administraciones públicas.
La Agencia Española de Protección de Datos (AEPD) ya trabaja con las asociaciones relacionadas con la privacidad para elaborar un esquema de Certificación que servirá para que las entidades certificadoras puedan ser acreditadas por Enac -Entidad Nacional de Acreditación.
Dicho delegado de protección de datos, tendrán competencia y habilidades para cubrir las necesidades del mercado y cumplir con la normativa, no sólo para evitar las multas.
No es una profesión limitada a los abogados. La titulación en Derecho no es el único elemento que permite ejercerla, el conocimiento jurídico es imprescindible, pero hacen falta otras habilidades y competencias.
La necesidad de Formación tecnológica para el delegado para entender los procesos a los que se enfrentan y, asimismo, entender las necesidades del personal de los departamentos que operan con los datos y trasladarles de forma práctica los nuevos deberes en materia de privacidad.
El deber de confidencialidad que impone la norma y la responsabilidad que se impone corresponde a la organización y no individualmente al delegado de protección de datos.
En la Seguridad Informática se deben distinguir dos propósitos de protección, la Seguridad de la Información y la Protección de Datos.
Aunque se diferencia entre la Seguridad de la Información y la Protección de Datos como motivo u obligación de las actividades de seguridad, las medidas de protección aplicadas normalmente serán las mismas.
En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su pérdida y modificación no autorizada. La protección debe garantizar en primer lugar la confidencialidad, integridad y disponibilidad de los datos, sin embargo existen más requisitos como la autenticidad de los mismos, entre otros.
El motivo para implementar medidas de protección, que responden a la Seguridad de la Información, es el propio interés de la institución o persona que maneja los datos, porque la pérdida o modificación de los datos, le puede causar un daño (material o inmaterial).
En el caso de la Protección de Datos, el objetivo de la protección no son los datos en sí mismos, sino el contenido de la información sobre personas, para evitar el abuso sobre este contenido.
En este caso, el motivo para la implementación de medidas de protección, por parte de la institución o persona que maneja los datos, es la obligación jurídica, junto con la simple ética personal, de evitar consecuencias negativas para las personas de las cuales se trata la información.
Existen algunas profesiones que, por su carácter profesional, están reconocidos o obligados, por su juramento, de respetar los datos personales como por ejemplo los médicos, abogados, jueces y también los sacerdotes.
Independientemente, de si existen o si no existen normas jurídicas, la responsabilidad de un tratamiento adecuado de datos personales y las consecuencias que puede causar en el caso de no cumplirlo, recae sobre cada persona que maneja o tiene contacto con tal información, y debería tener sus raíces en códigos de conducta y finalmente la ética profesional y humana, de respetar y no perjudicar los derechos humanos y no hacer daño.
La propia Seguridad Informática no es un fin, sino un tema transversal para el delegado de protección de datos que normalmente forma parte de la estructura interna de apoyo. Nadie vive o trabaja para su seguridad, sino la implementa para cumplir sus objetivos.
Implementar medidas de protección significa invertir en recursos como tiempo y dinero. Garantizar la seguridad, no es una cosa que se hace una vez y después se olvide, sino requiere un control continuo de cumplimiento, funcionalidad y una adaptación periódica, de las medidas de protección implementadas, al entorno cambiante. Por lo que siempre es importante contar con el apoyo de empresas dedicadas a la Protección de datos, que cuenten con profesionales  preparados para las distintas áreas.
Bajo este prisma, la figura del delegado está más cerca de una empresa que proporciona un servicio de protección de datos completo que de una sola persona.

Formación tecnológica para el delegado de protección de datos

Fugas de datos en despachos de abogados

Fugas de datos en despachos de abogados

Fugas de datos en despachos de abogados. La Agencia Española de Protección de Datos se mantiene siempre activa en creación de contenido para hacer más accesible la protección de datos y seguridad de la información a la mano del ciudadano.

En este caso, nos encontramos con que en los últimos días la Agencia, a través de su sitio web ha publicado una nueva guía para poder trabajar con mayor seguridad.

Esta Guía TIC, publicada por el Consejo General de la Abogacía Española en colaboración con el Instituto Nacional de Ciberseguridad y la Agencia Española de Protección de Datos, analiza de forma práctica cómo prevenir una fuga de información en un despacho de abogados y cómo gestionarla en caso de producirse.

La información se ha convertido en uno de los activos más importantes que posee un despacho de abogados. Tal información, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines indeseados o utilizada con fines comerciales. Es por ello que las fugas de información se están convirtiendo en una de las amenazas a la que se enfrenta en el nuevo mundo conectado una profesión como la abogacía, la cual se basa en gran medida en la confianza que los clientes depositan en estos profesionales.

La guía expone el origen, tanto externo como interno, de las amenazas que pueden provocar las fugas de información, para analizar a continuación cómo prevenirlas o mitigarlas. En el amplio apartado dedicado a cómo gestionar la fuga de información se expone un plan para la gestión de los incidentes que recoge los principales puntos y aspectos a tener en cuenta por parte de un despacho de abogados que quiera reforzar su capacidad de prevención y reacción.