TOP

DENUNCIAN A MONTÓN ANTE PROTECCIÓN DE DATOS POR USAR INFORMACIÓN DE PACIENTES

Carmen Montón denunciada ante la AEPD por la utilización de datos de carácter personal de pacientes de la sanidad pública valenciana.
La forma de actuar de la consellera de Sanidad, Carmen Montón, quien, al parecer ha aprovechado su condición de responsable de las políticas de salud de la Comunidad Valenciana para acceder a información de pacientes, ya ha desembocado en la primera denuncia.
La Agencia Española de Protección de Datos (AEPD)ha recibido un escrito que cuestiona la utilización de los historiales clínicos de los enfermos por parte de la consellera. Como publicó el lunes EL MUNDO, Carmen Montón, logró el número de teléfono privado de una paciente que sufre un proceso oncológico muy grave y usó este dato para telefonearle e intentar disuadirla para que no fuera al IVO.
Una llamada que se critica en el apartado de 'Hechos Denunciados' del escrito presentado ante AEPD. En concreto, se censura que la «consellera de Sanidad Universal y Salud Pública del Gobierno Valenciano, Dª Carmen Montón Giménez, dispone de acceso a datos de carácter personal de pacientes de la sanidad pública valenciana, vulnerando presuntamente el artículo 7.3 de la Ley Orgánica de Protección de Datos (LOPD)».
En la denuncia se recuerda que los datos «de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente».
Con una referencia expresa a este diario, se cita la versión que dio Sanidad para justificar el acceso al número de teléfono privado y la llamada a la paciente por parte de la propia Montón. El texto legal recuerda que las fuentes sanitarias confirmaron que es «frecuente que la consellera hable directamente con los pacientes en casos especiales. Es lo que ha sucedido en esta ocasión al interesarse personalmente por este caso y hablar con la paciente».
Con este argumento, la denuncia en Protección de Datos reprocha que la llamada de la consellera a una paciente tuviera la intención de «intentar evitar que dicha paciente elija con libertad la asistencia sanitaria en el Instituto Valenciano de Oncología (IVO) para tratarse unos tumores en los riñones». De ahí que el objeto de la denuncia sea que la AEPD «proceda a realizar una investigación para comprobar la veracidad de los hechos relatados por el periódico EL MUNDO y en consecuencia, se incoe un expediente sancionador contra Carmen Montón por presunta vulneración del art. 7.3 la LOPD si no dispone del consentimiento expreso de los pacientes para que acceda a sus datos personales, incluido su teléfono móvil y posiblemente la historia clínica de los enfermos a los que llama».

UNA TRABAJADORA GANA EL PULSO A SU EMPRESA EN EL CONTROL DE SU CORREO ELECTRÓNICO

Por primera vez en España un juzgado ha establecido en una reciente sentencia del Tribunal Europeo de Derechos Humanos, para determinar si la monitorización que realizó una empresa del ordenador de una empleada estaba justificada. ElPais.com 28/11/2017

El Juzgado de lo social nº 19 de Madrid ha declarado la nulidad de un despido efectuado por la empresa Amadeus Soluciones tecnológicas, tras responder a las preguntas que el Tribunal Europeo de Derechos Humanos calificó en una reciente sentencia como test para comprobar la corrección de las actuaciones empresariales.
En este caso, las pruebas que fundamentaban el despido de la trabajadora por parte de la empresa, eran fruto de la monitorización del uso que hacía del portátil que la propia compañía le había proporcionado para realizar su trabajo. Un control que la empresa había llevado hasta el punto de acceder al contenido de los correos personales que la empleada enviaba, eso sí desde su correo profesional. Dado el carácter invasivo de dicha vigilancia, el juez ha considerado que era necesario evaluar su proporcionalidad e idoneidad, para así resolver si se había producido o no una vulneración de los derechos fundamentales a la intimidad y al secreto de las comunicaciones de la trabajadora despedida.
Para ello, en la sentencia se responde a las preguntas clave que el Tribunal de Estrasburgo en su sentencia de 5 de septiembre de 2017 - caso B?rbulescu contra Rumanía – estableció para verificar en cada caso si las medidas de vigilancia utilizadas por una empresa resultan adecuadas respecto al fin que pretende. Y es que, como bien explica Fe Quiñones, abogada laboralista de Javaloyes Legal que ha llevado este pleito, "la jurisprudencia de este Tribunal es directamente aplicable a nuestro ordenamiento jurídico, hasta el punto de que la Constitución Española debe interpretarse conforme a dicha jurisprudencia".
 
La primera de esas cuestiones a la que hay que contestar, es si el trabajador ha sido informado de que la empresa puede tomar medidas para supervisar sus comunicaciones. En segundo lugar, cuál ha sido el alcance de ese control, es decir, si solo se verifica el flujo de comunicaciones o también se ha entrado en el contenido de las mismas. Así como si la empresa contaba con argumentos legítimos que justificaran la vigilancia o si podía haber utilizado otros medios de control menos intrusivos. Además, también es necesario valorar las consecuencias que esa supervisión ha supuesto para el empleado, es decir, si los resultados de la vigilancia se usaron efectivamente para alcanzar el objetivo que motivo la medida o no. Y por último, comprobar si se dieron las garantías adecuadas para evitar que la empresa tuviera acceso al contenido de las comunicaciones sin avisar al empleado de dicha eventualidad.
Analizando uno por uno estos aspectos, el juez ha concluido que en este caso la medida de monitorización del ordenador de la trabajadora en la forma en que se hizo no estaba justificada. En su argumentación mantiene que resultó desproporcionada, lesionando por tanto sus derechos a la intimidad y al secreto de sus comunicaciones.
En la carta de despido la empresa explicó que esta medida se tomó porque la empleada se negaba a hacer las tareas encomendadas, alegando que no tenía tiempo. De tal manera que la empresa lo que pretendía era determinar en qué empleaba su jornada laboral, cuál era su ocupación y si ésta era lo suficientemente completa como para no poder dedicar parte de su jornada a esas nuevas tareas que la compañía le había asignado. En opinión del juez del caso, para lograr ese objetivo era totalmente innecesario y desproporcionado conocer el contenido y los destinarios de sus correos personales, los cuales entraban dentro de la expectativa de intimidad de la trabajadora a pesar de haber sido enviados desde la dirección de correo electrónico del trabajo. Ni siquiera el hecho de que la compañía grabara lo que la empleada hacía en su ordenador y después lo visionara en una reproducción rápida, es una garantía de que el control no resultó invasivo, ya que solo se trataba de una forma de revisión más ágil.
Es necesario en este punto destacar, como lo hace la sentencia, que la política de uso aceptable de los sistemas de información, internet y correo electrónico establecida por la empresa, si bien indicaba que debían usarse para fines profesionales, añadía determinadas excepciones. En otras palabras, limitaba el uso de estas herramientas de trabajo para fines personales a lo que fuera estrictamente "necesario, mínimo y razonable". A pesar de ello, la resolución considera evidente que Amadeus se extralimitó en la monitorización del equipo de la trabajadora, ya que como apunta Fe Quiñones, llegaron "hasta el punto de tener acceso al contenido de correos electrónicos de carácter personal, enviados a familiares y a su asesora legal".
En definitiva, la sentencia resuelve que la actuación de la empresa no supera los criterios establecidos por el tribunal de Estrasburgo y por tanto supone una lesión de derechos fundamentales lo que a su vez provoca que el resultado de esa monitorización no pueda usarse como prueba para justificar el despido. "Una prueba que se obtiene con vulneración de derechos fundamentales, no solamente significa que dicha prueba no se puede utilizar en el proceso, sino que convierte el despido en nulo, como aquí ha ocurrido", así lo explica la abogada Fe Quiñones.

LA AUDIENCIA NACIONAL RATIFICA LA OBLIGACIÓN DE GOOGLE DE SUPRIMIR DEL BUSCADOR UNA NOTICIA SOBRE UN EX DEPORTISTA ASTURIANO

La AN obliga a la entidad empresarial de Google a suprimir de su buscador la referencia a una noticia sobre una sentencia vinculada al nombre de un ex deportista asturiano por protección de datos personales usados sin consentimiento. 20MINUTOS 28/11/17

La AN, en este sentido, entiende que "debe prevalecer el derecho a la protección de datos del reclamante sobre el derecho a la libertad de expresión del buscador de Google, y que el tratamiento de los datos personales del denunciante sin su consentimiento, realizado por el demandante, no encuentra amparo en el legítimo ejercicio de la libertad de información, pues ni el reclamante goza de la consideración de personaje público, ni la noticia responde con autenticidad al contenido de la sentencia a que se hace referencia, ni tiene actualidad". El reclamante, representado por el abogado Santiago Estrada, "ostenta un derecho a que dicha información no se vincule a su nombre a través de los buscadores de Internet", continua el Tribunal, que hace referencia a una noticia aparecida en el diario Cinco Días en 2007. En la citada noticia se daba a conocer una sentencia firme de la Audiencia Provincial de Asturias en la que se condenaba a una entidad a indemnizar a dos clientes que habían sidos captados por el demandante, exdeportista de élite, y referente a unos hechos que se remontan a 1999 acerca de una gestión de fondos bursátiles. La Sala, de hecho, considera que el texto de la noticia publicada no se limita a la transcripción de una sentencia que ya es firme, "sino que añade una serie de consideraciones relativas a la intervención del codemandado, que exceden de los hechos enjuiciados y responden más bien a opiniones del periodista". Es más, se recalca que en la sentencia no se hace referencia alguna a la intervenciones del denunciante. PUBLICIDADinRead invented by TeadsTambién incide la Sala en que no se entra a valorar ni decidir nada acerca de la publicación inicial en sí, sino sobre su accesibilidad a través del buscador en las búsquedas por nombre del afectado, que debe considerarse "inadecuada y no pertinente" con relación con los fines para los que se recogieron o trataron teniendo en cuenta el tiempo transcurrido, "sin que concurra ninguna razón justificada que deba prevalecer", añade el Tribunal. Asimismo, se remarca que no se acredita su relevancia a efectos de la divulgación ilimitada que implica la captación por el buscador debiéndose considerar que cualquier justificación amparada en el derecho a la libertad de expresión debe ser rechazada por el tiempo transcurrido. Cabe recordar que la noticia fue suprimida del buscador hace un año, aunque aún cabe recurso de casación contra la reciente sentencia de la Audiencia Nacional, que desestima el recurso de Google Inc. El recurso trataba de anular la Resolución de la Agencia Protección de Datos de fecha 13 de noviembre de 2015, que rechazaba otro recurso interpuesto por Google Inc contra una Resolución anterior, del 13 de mayo de 2015, referente al bloqueo del enlace que hacía referencia al exdeportista de élite asturiano.

UBER DESPIDE A SU JEFE DESEGURIDAD TRAS RECONOCER EL ROBO DE DATOS DE 57 MILLONES DE CLIENTES

El responsable de seguridad de la compañía Uber declaró ser el culpable, por diversos fallos de gestión, del robo de información que se llevo acabo el año pasado. EL MUNDO.es 22 nov. 2017

En octubre del año pasado un grupo de hackers logró acceder a la información de más de 57 millones de clientes y conductores de Uber. Entre los datos obtenidos figuraban los correos electrónicos, los números de teléfonos, las direcciones postales o los números del carnet de conducir en el caso de los trabajadores del conocido servicio de transporte.
Hasta ayer, nadie supo de la existencia de este ataque y la razón es que Uber pagó para que no se conociera. En el punto de mira de las autoridades estadounidenses por varios escándalos relativos al uso de datos personales de sus clientes, los entonces responsables de la compañía -con su fundador, Travis Kalanick, al frente- prefirieron ceder a las demandas de los atacantes antes que añadir un grave incidente de seguridad a la negativa cobertura mediática que la compañía recibía ya esos días.
Uber pagó 100.000 dólares por el silencio y disfrazó la cantidad como una "recompensa" por descubrir un agujero de seguridad. Estas recompensas son habituales entre las grandes empresas tecnológicas. Funcionan como un incentivo para que los hackers comuniquen a las compañías los fallos de seguridad que han pasado desapercibidos en vez de venderlos al mejor postor en diferentes foros de seguridad. Las compañías pueden trabajar así en un parche que solucione el problema antes de hacerlo público.
Uber, en cualquier caso, no contaba con uno de estos programas de recompensas en el momento del ataque y a pesar de que está obligada a publicar vulnerabilidades de seguridad ante los organismos estadounidenses de protección de datos, jamás reportó el suceso.
Los hackers consiguieron acceso a los datos gracias a un despiste de los ingenieros de la compañía, que dejaron las credenciales de acceso a sus bases de datos -alojadas en la infraestructura de Amazon Web Services- en el código fuente de la aplicación.
Los atacantes sólo tuvieron que ingeniárselas para entrar en el repositorio de este código, alojado en el popular servicio GitHub y usar esas credenciales para acceder a los datos. Uber asegura que los números de tarjetas de crédito o los datos de los viajes realizados por los clientes no se han visto afectados.
El fallo le ha costado el puesto al responsable de seguridad de al compañía, Joe Sullivan, que se unió a Uber en el año 2015. Su gestión ha estado plagada de errores y decisiones polémicas que han afectado de forma severa a la imagen pública de la compañía y que desde el mes pasado son el foco de atención de la junta directiva de la empresa.
El nuevo presidente de la compañía, Dara Khosrowshahi, tendrá que hacer frente ahora a una investigación formal por parte de la fiscalía del estado de Nueva York anunciada ayer tras conocerse los
detalles del ataque y una demanda colectiva que un usuario del servicio ha puesto ya en marcha. "Nada de esto tendría que haber ocurrido y no voy a inventar excusas para justificarlo", dijo ayer Khosrowshahi.

APROBADO EL PROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Tiene como objetivos aumentar la seguridad jurídica y adaptar la normativa a la evolución tecnológica. Regula la potestad de los herederos sobre la información de personas fallecidas. Se aplicará a partir del próximo 25 de mayo de 2018.

El Consejo de Estado en Pleno, en sesión celebrada el día, 26 de octubre de 2017, , x