April 6th, 2011
La venda de les dades personals
L’explosió de la bombolla tecnològica a finals dels anys 90 va provocar que algunes empreses estudiessin possibilitats diverses a l’hora d’afrontar el pagament dels seus deutes i entre elles, la venda de les dades personals dels seus clients, debat aquest que ara i amb motiu de la crisi econòmica, aflora novament.
Un exemple paradigmàtic d’aquelles males pràctiques fou el cas de Toysmart.com, empresa dedicada a la venda de joguines per Internet, i que tractava majoritàriament amb dades personals de menors d’edat.
Doncs bé, com Toysmart no podia fer front als seus creditors, va iniciar un procés concursal dintre del qual va voler vendre les dades personals dels seus clients per resoldre així els seus deutes, malgrat que l’empresa estava adherida a la certificació TRUSTe (http://www.truste.com/) que prohibia precisament aquesta possibilitat. Read the rest of this entry »
February 23rd, 2011
La resolució d’arxiu E/01910/2008 de l’AGPD planteja una qüestió de certa transcendència, com és l’àmbit d’aplicació de la llei 15/1999, i a més posa de manifest la inutilitat, des del meu punt de vista, de recórrer encara al concepte de fitxer per decidir si una dada personal queda dintre de l’àmbit d’aplicació de la LOPD o no, ja que això suposa a la pràctica deixar fora del paraigües de la LOPD a certs tractaments que, clarament, haurien de ser tutelats per aquest dret fonamental.
Tot comença quan l’empresa A – aquí denunciant- s’adona que una comercial que havia treballat per a ella i que, segons sembla, s’endugué amb ella la base de dades que contenia dades dels distribuïdors – declarada davant l’AGPD amb el nom de comercial-, utilitza aquestes mateixes dades personals per enviar invitacions als distribuïdors de l’empresa A, però curiosament per presentar els productes de la competència (l’empresa B per la qual ara treballa).
Com a prova de tot, l’empresa A aporta davant l’AGPD targetes d’invitació enviades per l’empresa B i sobretot –i aquesta és la qüestió nuclear de la resolució- diversos sobres que contenen manuscrites les dades dels destinataris.
En l’expedient de l’arxiu, l’AGPD cita l’art. 2.1 de la LOPD, la definició de tractament –art. 3.c- i els considerants 15 i 27 de la directiva 95/46 per concloure que:
“ … no basta, sin embargo, la realización de una de estas actuaciones en relación con los datos personales para que la ley despliegue sus efectos protectores y sus garantías y derechos de los afectados. Es preciso algo más: se realicen de forma automática o bien, si se realizan de forma manual, que los datos personales estén contenidos o destinados a ser incluidos en un fichero …”.
I això perquè “ … la LOPD no resulta de aplicación a los tratamientos de datos no automatizados que no se conserven en ficheros organizados de los definidos …”.
En conclusió: donat que la informació publicitària es va remetre en sobres que contenien la direcció postal manuscrita i, com no va ser possible constatar de les actuacions d’inspecció realitzades, que aquelles dades haguessin estat incorporades en un fitxer, els fets analitzats excedeixen de l’àmbit de la LOPD. Per això, s’arxiva la denuncia.
Torno a l’inici i em pregunto: no és un risc tutelable pel dret a la protecció de dades el tractar dades personals així simplement, sense més?. És a dir, la simple fixació de dades personals en un suport –és a dir el tractament de les dades personals- amb independència de la forma d’ordenar aquella informació, ja sigui en un fitxer, un arxiu o digui’s com es vulgui, ja posa en risc el dret i fa innecessari que les dades no automatitzades es conservin a més en fitxers organitzats.
En fi, un anacronisme de la LOPD, terme pel RAE com incongruència que resulta de presentar alguna cosa pròpia d’una època a la que no correspon.
© Ramon Arnó, 2011, Lleida
February 13th, 2011
Una reestructuració de les dependències del responsable en la que es va desfer dels documents amb antiguitat major de cinc anys, i que van acabar depositats sense destruir en uns contenidors de brossa, provoca l’obertura d’un expedient per la AEPD (AP/00071/2009-R/00312/2010) que acaba amb la declaració de la infracció de l’article 9 de la LOPD (seguretat) i amb un requeriment per tal que el responsable adopti les mesures d’ordre intern que impedeixin que en el futur pugui produir-se una nova infracció. Però tot comença uns dies abans en les pàgines d’un diari que publica una noticia en que exposa que el responsable es desfeia sense control de documentació “sensible”.
Els fets
La junta de personal d’un Ajuntament presenta denuncia davant l’AEPD, informant de l’aparició en la brossa de documentació que es correspon amb sol·licituds de cursos, minuta d’honoraris dels professors i registres d’assistència dels alumnes. Read the rest of this entry »
February 4th, 2011
M’agradaria començar la història amb preguntes bàsiques, dirigides a mares i pares: a casa, qui sap més d’Internet? No em refereixo a la simple tasca de navegar per la xarxa per localitzar un restaurant, sinó a dur a terme activitats diguem-ne més “intel·lectuals”, com és crear una direcció de correu electrònic, comprar un antivirus, consultar el compte bancari o entrar a Facebook. Si la resposta és els meus fills, no us espanteu. És lògic. Read the rest of this entry »
February 3rd, 2011
Una sentència interessant
El TSJ de la Comunitat Valenciana (sala de lo social), ha dictat una sentència el dia 16-2-2010 on s’analitza un supòsit habitual últimament, com és l’acomiadament d’un treballador a l’acreditar-se per l’empresa l’accés a Internet del mateix en hores de feina, amb visites a pàgines referides al món multimèdia, vídeos, pirateria informàtica, anuncis, televisió, contactes etc.
L’auditoria interna.
La sentència ens explica que l’empresa va realitzar una auditoria interna de les xarxes d’informació amb l’objectiu de revisar la seguretat dels sistema i detectar possibles anomalies en la utilització dels nostres mitjans posats a disposició dels treballadors, l’informe del qual fou entregat a l’administració de personal de l’empresa.
A més i pel que fa a l’ordinador utilitzat, es va entregar a l’administració de personal, auditoria detallada de l’historial d’accés a Internet, que és el mateix que es va adjuntar a la carta d’acomiadament entregada al treballador.
¿A quines pàgines d’Internet va accedir el treballador en horari de feina? Read the rest of this entry »
